Hackers norte-coreanos conhecidos pelo grupo Konni espalham malware em PowerShell gerado por ferramentas de inteligência artificial (IA) generativas. O intuito, segundo observado pela Check Point Research, é roubar informações de equipes de engenharia de blockchain.
- Novo ransomware Osiris agora usa drivers para atacar usuários
- Microsoft alerta para erro de programação que congela o Outlook no iOS
Com uma trajetória criminosa datada de 2014, o Konni começou a campanha de spear-phishing em meados de janeiro, com a Check Point identificando a maioria dos casos no Japão, na Austrália e na Índia.
Os especialistas observaram durante as investigações que o grupo distribui e-mails direcionados a engenheiros com links maliciosos de publicidade que, para parecerem inofensivos, chegam associados às plataformas do Google e do Naver. Dessa maneira, os hackers conseguem burlar filtros de segurança na plataforma para distribuir um trojan de acesso remoto chamado EndRAT.
–
Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.
–
IA no comando
Disfarçadas de alertas financeiros, como falsas solicitações ou confirmações de transferências, os e-mails enganam as equipes visadas para que elas baixem um arquivo ZIP por meio do link malicioso. Ao fazer a instalação, o arquivo revela um atalho do Windows (LNK) projetado para executar um script AutoIt que está disfarçado de um simples documento PDF.
O script é justamente o EndRAT, que inicia um loader do PowerShell que extrai documentos do Microsoft Word para distrair a vítima. É durante esse momento de distração que o backdoor é instalado no dispositivo, executando uma série de ações maliciosas para elevar seus privilégios dentro do sistema.
O backdoor também instala o SimpleHelp uma ferramenta legítima de monitoramento e gerenciamento remoto que, além de estabelecer persistência, se comunica com um servidor C2 criptografado que envia metadados do usuário periodicamente para o domínio hacker.
O que fez os especialistas se surpreenderem com o ataque foram os indícios encontrados de que o backdoor em PowerShell foi criado a partir do uso de ferramentas generativas de IA. Segundo a Check Point, isso mostra um esforço para “acelerar o desenvolvimento e padronizar o código” do malware, garantindo ataques automatizados com engenharia social.
Leia também:
- Curl remove recompensas por bugs devido a excesso de relatos de IA
- Hackers usam IA para espalhar malware via anúncios no Android
- VoidLink, malware nativo à nuvem, foi gerado por uma só pessoa usando IA
Leia a matéria no Canaltech.
