Ο απειλητικός παράγοντας που συνδέεται με τη Βόρεια Κορέα, γνωστός ως Kimsuky, έχει υιοθετήσει μια νέα τακτική εξαπάτησης μέσω PowerShell. Η μέθοδος αυτή περιλαμβάνει την παραπλάνηση των θυμάτων ώστε να εκτελέσουν το PowerShell με δικαιώματα διαχειριστή. Στη συνέχεια, οι επιτιθέμενοι τους καθοδηγούν να επικολλήσουν και να εκτελέσουν κακόβουλο κώδικα που έχουν οι ίδιοι παρέχει, εκθέτοντας τα συστήματα σε σοβαρούς κινδύνους.
Δείτε επίσης: Νέα επίθεση DoubleClickjacking παραβιάζει λογαριασμούς
Για να αποκτήσουν πρόσβαση στο υποτιθέμενο έγγραφο PDF, τα θύματα παρασύρονται να κάνουν κλικ σε έναν σύνδεσμο URL, ο οποίος οδηγεί σε μια λίστα βημάτων για την εγγραφή του συστήματος Windows τους. Ο σύνδεσμος τους καθοδηγεί να εκκινήσουν το PowerShell με δικαιώματα διαχειριστή, να αντιγράψουν και να επικολλήσουν τον παρεχόμενο κώδικα στο τερματικό και να τον εκτελέσουν.
Εάν το θύμα ακολουθήσει τον σύνδεσμο, ο κακόβουλος κώδικας ενεργοποιείται, κατεβάζοντας και εγκαθιστώντας ένα εργαλείο απομακρυσμένης επιφάνειας εργασίας που λειτουργεί μέσω προγράμματος περιήγησης. Παράλληλα, από έναν απομακρυσμένο διακομιστή, λαμβάνεται ένα αρχείο πιστοποιητικού συνοδευόμενο από κωδικό PIN.
Ο τεχνολογικός γίγαντας ανέφερε ότι αυτή η μέθοδος έχει χρησιμοποιηθεί σε περιορισμένες επιθέσεις από τον Ιανουάριο του 2025, χαρακτηρίζοντάς την ως μια ασυνήθιστη απόκλιση από τις καθιερωμένες πρακτικές του συγκεκριμένου παράγοντα απειλής.
Αξίζει να σημειωθεί ότι η Kimsuky δεν είναι το μοναδικό βορειοκορεάτικο hacking group που έχει υιοθετήσει τη στρατηγική παραβίασης μέσω PowerShell. Τον Δεκέμβριο του 2024, αποκαλύφθηκε ότι απειλητικοί παράγοντες, συνδεδεμένοι με την καμπάνια Contagious Interview, εξαπατούσαν τους χρήστες να εκτελέσουν μια κακόβουλη εντολή στο λειτουργικό σύστημα macOS της Apple μέσω της εφαρμογής Terminal. Η εντολή αυτή παρουσιάζεται ως λύση σε ένα υποτιθέμενο πρόβλημα πρόσβασης στην κάμερα και το μικρόφωνο μέσω του προγράμματος περιήγησης, παραπλανώντας τους ανυποψίαστους χρήστες.
Δείτε ακόμα: DNS hijacking στοχεύει πλατφόρμες crypto μέσω Squarespace
Οι επιθέσεις αυτού του τύπου, καθώς και εκείνες που εφαρμόζουν τη λεγόμενη μέθοδο ClickFix, έχουν σημειώσει ραγδαία αύξηση τους τελευταίους μήνες. Αυτό οφείλεται, εν μέρει, στο γεγονός ότι εκμεταλλεύονται τους ίδιους τους στόχους για να μολύνουν τα συστήματά τους, παρακάμπτοντας έτσι τα μέτρα ασφαλείας.
Η εξέλιξη προκύπτει καθώς το Υπουργείο Δικαιοσύνης των ΗΠΑ (DoJ) ανακοίνωσε ότι μια 48χρονη γυναίκα από την Αριζόνα παραδέχθηκε την ενοχή της για τη συμμετοχή της σε ένα δόλιο σχέδιο που επέτρεπε σε κακόβουλους φορείς από τη Βόρεια Κορέα να εξασφαλίζουν απομακρυσμένες θέσεις εργασίας σε περισσότερες από 300 αμερικανικές εταιρείες. Στο πλαίσιο του σχεδίου, οι φορείς παρουσιάζονταν ως πολίτες ή μόνιμοι κάτοικοι των ΗΠΑ, διευκολύνοντας έτσι την πρόσβασή τους στον τομέα της πληροφορικής.
Η δραστηριότητα απέφερε περισσότερα από 17,1 εκατομμύρια δολάρια σε παράνομα έσοδα για την Christina Marie Chapman και για τη Βόρεια Κορέα κατά παράβαση των διεθνών κυρώσεων μεταξύ Οκτωβρίου 2020 και Οκτωβρίου 2023, ανέφερε το υπουργείο.
Δείτε επίσης: Οικογένειες malware προσαρμόζονται στην τεχνική COM Hijacking
Το hijacking αναφέρεται στη μη εξουσιοδοτημένη κατάληψη συστημάτων, συσκευών ή δικτύων από άτομα ή ομάδες με κακόβουλη πρόθεση. Αυτός ο τύπος κυβερνοεπίθεσης μπορεί να περιλαμβάνει τακτικές όπως phishing, εκμετάλλευση τρωτών σημείων λογισμικού ή χρήση κακόβουλου λογισμικού για την απόκτηση ελέγχου. Οι συνέπειες μιας τέτοιας ενέργειας κυμαίνονται από την κλοπή ευαίσθητων πληροφοριών έως τον πλήρη τερματισμό λειτουργίας του συστήματος, θέτοντας σημαντικούς κινδύνους για άτομα, επιχειρήσεις και κυβερνήσεις. Η ενίσχυση των μέτρων κυβερνοασφάλειας και η επαγρύπνηση έναντι πιθανών απειλών είναι ουσιαστικά βήματα για τον μετριασμό αυτών των κινδύνων.
Πηγή: thehackernews
