De acordo com um relatório da empresa de segurança sul-coreana AhnLab, organizações de hackers ligadas ao Estado, como o Lazarus Group, apoiado pela Coreia do Norte, confiaram fortemente no spear phishing para roubar fundos e reunir informações nos últimos 12 meses. O grupo muitas vezes se passava por organizadores de conferências, contatos de trabalho ou colegas para induzir as pessoas a abrir arquivos ou executar comandos.
Grupo Lazarus: Spear Phishing se torna mais realista com iscas de IA
Relatórios revelaram que uma unidade conhecida como Kimsuky usou inteligência artificial para falsificar imagens de identidade militar e alojá-las em um arquivo ZIP para fazer com que as mensagens parecessem legítimas.
Pesquisadores de segurança dizem que as identidades falsas foram convincentes o suficiente para que os destinatários abrissem os anexos, que então executavam códigos ocultos. O incidente foi rastreado até meados de julho de 2025 e parece marcar um avanço na forma como os invasores criam suas iscas.
Image: Adobe Stock
O objetivo é simples. Faça com que um usuário confie em uma mensagem, abra um arquivo e o invasor consegue entrar. Esse acesso pode levar ao roubo de credenciais, propagação de malware ou carteiras criptográficas esgotadas. Os grupos ligados a Pyongyang têm estado ligados a ataques a alvos financeiros e de defesa, entre outros.
Vítimas do Grupo Lazarus são solicitadas a executar comandos
Algumas campanhas não dependiam apenas de explorações ocultas. Em vários casos, os alvos foram induzidos a digitar comandos do PowerShell, às vezes acreditando que estavam seguindo instruções oficiais.
Essa etapa permite que os invasores executem scripts com altos privilégios sem a necessidade de dia zero. Os meios de segurança alertaram que esse truque social está se espalhando e pode ser difícil de detectar.
Grupo Lazarus: tipos de arquivos antigos, novos truques
Os invasores também abusaram de arquivos de atalho do Windows e formatos semelhantes para ocultar comandos executados silenciosamente quando um arquivo é aberto. Os pesquisadores documentaram quase 1.000 amostras maliciosas de .lnk vinculadas a campanhas mais amplas, mostrando que tipos de arquivos familiares continuam sendo o método de entrega favorito. Esses atalhos podem executar argumentos ocultos e extrair outras cargas úteis.
Por que isso é importante agora
Isso torna os ataques mais difíceis de impedir: mensagens personalizadas, recursos visuais forjados por IA e truques que solicitam aos usuários que executem códigos. A autenticação multifatorial e os patches de software ajudam, mas treinar as pessoas para tratar solicitações incomuns com suspeita continua sendo fundamental. As equipes de segurança defendem redes de segurança básicas: atualizar, verificar e, em caso de dúvida, consultar um contato conhecido.
Segundo relatos, o Grupo Lazarus e Kimsuky continuam ativos. Lazarus, com base nas descobertas do AhnLab, recebeu o maior número de menções em análises pós-crime cibernético nos últimos 12 meses. O grupo foi apontado por hacks com motivação financeira, enquanto Kimsuky parece mais focado na coleta de informações e no engano personalizado.
Imagem em destaque da Anadolu, gráfico do TradingView
Processo Editorial for bitcoinist está centrado na entrega de conteúdo exaustivamente pesquisado, preciso e imparcial. Mantemos padrões rígidos de fornecimento e cada página passa por uma revisão diligente por nossa equipe de especialistas em tecnologia e editores experientes. Este processo garante a integridade, relevância e valor de nosso conteúdo para nossos leitores.
Fontebitcoinist
