Северокорейских хакеров из известной группировки Kimsuky обвинили в проведении крупномасштабных атак с применением методик социальной инженерии, направленных на пользователей Facebook*. Уточняется, что злоумышленники используют поддельные аккаунты в социальной сети для связи с потенциальными жертвами через Facebook Messenger, с помощью которого пользователям передаётся вредоносное ПО, сообщает издание The Hacker News.
Специалисты по информационной безопасности профильной компании Genians рассказали, что в рамках реализации этой схемы мошенничества хакеры из Северной Кореи предварительно создают учётные записи в социальной сети Facebook, используя в них вымышленные имена и маскируясь под государственных чиновников.
По словам экспертов, этот подход немного отличается от стандартной стратегии целевого фишинга, который базируется на электронной почте. В данном случае злоумышленники пользуются платформой социальных сетей для получения доступа к потенциальным целям через Facebook Messenger и обманом заставляют их открывать, казалось бы, личные документы, якобы присланные человеком, с которым они общаются.
Документы-ловушки, размещённые на OneDrive, представляют собой документ Microsoft Common Console, который маскируется под файлы разного типа. Файл называется «My_Essay(prof).msc» или «NZZ_Interview_Kohei Yamamoto.msc». Последний был загружен на платформу VirusTotal 5 апреля 2024 года из Японии.
Аналитики также отмечают, что использование файлов MSC для проведения атаки является признаком того, что хакерская группировка Kimsuky использует необычные типы документов, чтобы оставаться незамеченными. В очередной попытке повысить вероятность успешного заражения файл маскируется под безобидный файл Word с помощью значка текстового процессора.
Если жертва запускает файл MSC и соглашается открыть его с помощью консоли управления Microsoft (MMC), ей отображается экран консоли, содержащий документ Word, который при запуске активирует последовательность атаки.
*Facebook — социальная сеть, принадлежащая запрещённой в России и признанной экстремистской американской корпорации Meta.
Оригинал публикации на сайте CISOCLUB: "Хакеров из КНДР обвинили в атаках на пользователей Facebook*".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.