Facebook Messenger a fost folosit de grupul de hacking Kimsuky, legat de Coreea de Nord, într-o nouă campanie de inginerie socială care folosește conturi fictive de Facebook pentru a ataca tintele. Potrivit unui raport publicat săptămâna trecută de compania sud-coreeană de securitate cibernetică Genians, actorul amenințării și-a creat un cont de Facebook cu o identitate falsă, prezentându-se drept un funcționar public care lucrează în domeniul drepturilor omului din Coreea de Nord. Prin intermediul Facebook Messenger, aceștia au reușit să atragă victimele în capcană.
Această campanie de atac în mai multe etape este concepută pentru a viza activiștii din sectoarele nord-coreene pentru drepturile omului și anti-Coreea de Nord. Spre deosebire de abordările tradiționale de spear-phishing bazate pe email, atacul folosește platforma de social media pentru a aborda țintele prin Facebook Messenger și a le păcăli să deschidă documente aparent private scrise de persoana falsă. Utilizatorii Facebook Messenger sunt astfel expuși unui risc semnificativ.
Documentele momeală, găzduite pe OneDrive, sunt deghizate ca eseuri sau conținut legat de summituri trilaterale între Japonia, Coreea de Sud și SUA, cu titluri precum „My_Essay(prof.msc” sau „NZZ_Interview_Kohei Yamamoto.msc”. Aceste documente momeală au fost încărcate pe platforma VirusTotal pe 5 aprilie 2024, din Japonia, sugerând că campania ar putea fi orientată către anumite persoane din Japonia și Coreea de Sud, inclusiv utilizatori de Facebook Messenger.
Facebook Messenger: ATENTIONAREA Extrem de Serioasa privind Serviciul Oferit de Facebook
Utilizarea fișierelor MSC pentru a livra atacul indică faptul că Kimsuky folosește tipuri de documente neobișnuite pentru a zbura sub radar. Documentele sunt deghizate ca fișiere Word inofensive folosind pictograma procesorului de text pentru a crește probabilitatea de succes a infecției, accesând victimele prin Facebook Messenger.
În cazul în care o victimă deschide fișierul MSC și acceptă să-l deschidă cu Microsoft Management Console (MMC), i se afișează un ecran de consolă care conține un document Word. Lansarea acestui document activează secvența de atac, care implică rularea unei comenzi pentru a stabili o conexiune cu un server controlat de adversar (“brandwizer.co[.]in”). În același timp, instrucțiuni suplimentare sunt executate în fundal pentru a configura persistența și pentru a colecta informații despre sistemul victimei. Aceste atacuri sofisticate, inițiate prin Facebook Messenger, evidențiază riscurile majore de securitate cibernetică.
Informațiile adunate sunt exfiltrate către serverul de comandă și control (C2), care colectează adrese IP, șiruri User-Agent și informații de marcaj de timp din cererile HTTP. Acest server poate livra sarcini utile relevante, după cum este necesar. Utilizatorii Facebook Messenger sunt astfel în pericol de a deveni victimele unor atacuri complexe și bine planificate.
Genians a menționat că unele dintre tacticile, tehnicile și procedurile (TTP) adoptate în această campanie se suprapun cu activitatea anterioară a Kimsuky de diseminare a malware-ului, cum ar fi ReconShark, detaliat de SentinelOne în mai 2023.
„În primul trimestru al acestui an, atacurile spear-phishing au fost cea mai comună metodă de atacuri APT raportate în Coreea de Sud”, a adăugat compania. „Deși nu sunt raportate în mod obișnuit, atacurile ascunse prin intermediul rețelelor sociale, cum ar fi Facebook Messenger, sunt de asemenea o problemă. Datorită naturii lor individuale, personalizate, aceste atacuri nu sunt ușor de detectat prin monitorizarea securității și sunt rareori raportate extern, chiar dacă victima le cunoaște. Detectarea timpurie a acestor amenințări personalizate este esențială.” Facebook Messenger, fiind o platformă de socializare populară, devine astfel un canal preferat pentru astfel de atacuri sofisticate.
