- Konni é um grupo norte-coreano avançado de ameaça persistente que opera há uma década.
- O hack deles começa com uma mensagem do Discord contendo um link para um arquivo ZIP enganoso.
- Pesquisadores observam que o vírus apresenta sinais claros de ser gerado por IA.
Pesquisadores de cibersegurança alertaram sobre um novo esquema sofisticado de malware. O grupo de hackers ligado à Coreia do Norte, Konni (também conhecido como Opal Sleet e TA406), está utilizando malware PowerShell gerado por IA para atingir diretamente desenvolvedores e engenheiros de blockchain.
Konni é um grupo norte-coreano de ameaça avançada persistente (APT) que opera há pelo menos uma década. Embora seus alvos estejam nas regiões da Coreia do Sul, Rússia, Ucrânia e Europa, a Ásia-Pacífico também foi adicionada à lista.
O grupo está ligado a outros grupos cibernéticos da RPDC, como APT37 e Kimsuky, e tem histórico de roubo de dinheiro e segredos de bancos, sistemas financeiros e empresas de tecnologia.
Como o Hack Funciona
Especialistas, incluindo pesquisadores da Check Point, compartilharam relatórios detalhados explicando como o hack Konni funciona passo a passo.
O hack começa com uma mensagem do Discord contendo um link. Ao clicar nele, baixa um arquivo comprimido que parece legítimo, contendo tanto um isca de PDF quanto um atalho prejudicial do Windows.
Relacionado: Hackers Exploram Pagamento GANA de 3,1 Milhões de Dólares na Cadeia BSC
Abrir o arquivo de atalho inicia um loader PowerShell que desempacota mais arquivos. Entre eles estão um documento DOCX falso e um arquivo de gabinete (CAB) contendo uma backdoor PowerShell, scripts batch e um executável projetado para burlar o Controle de Conta de Usuário (UAC). Isso permite que o vírus permaneça instalado no computador da vítima.
Pesquisadores observam que o vírus apresenta sinais claros de ser gerado por IA. Seu código é construído em blocos separados, contém comentários incomumente organizados e usa texto provisório estranho, o que o diferencia do malware típico escrito por humanos.
O software malicioso configura uma tarefa automatizada por hora, disfarçada de tarefa de inicialização do OneDrive. Isso secretamente desbloqueia e executa um comando PowerShell na memória do computador. Depois que a parte prejudicial do programa roda, ele limpa alguns de seus próprios arquivos para encobrir seus rastros.
Foco em Desenvolvedores de Blockchain
Ao contrário dos ataques típicos que visam usuários aleatórios, este ataque é direcionado diretamente a desenvolvedores e engenheiros de software que constroem plataformas criptográficas. Essas pessoas frequentemente têm acesso a chaves de API, acesso ao código-fonte e chaves de carteiras privadas.
Se forem hackeados, eles poderiam dar aos atacantes controle sobre aplicações importantes e grandes quantidades de cripto. Pesquisadores observaram essa campanha atingindo principalmente alvos no Japão, Austrália e Índia, mostrando que os hackers estão deliberadamente atacando novas regiões.
Relacionado: Aviso Severo da CZ: Um clique em um link de suporte falso pode afundar uma exchange de criptomoedas
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
