Hackers norte-coreanos da Konni atacam engenheiros de blockchain com malware desenvolvido por IA

O grupo de hackers norte-coreano Konni está agora visando engenheiros de blockchain com malware gerado por inteligência artificial. De acordo com relatos, o grupo está implantando o malware em PowerShell, gerado por IA, para atacar desenvolvedores e engenheiros da indústria de blockchain.

Acredita-se que o grupo de hackers norte-coreano esteja em operação desde pelo menos 2014 e esteja associado aos clusters de atividade APT37 e Kimusky. O grupo tem como alvo organizações espalhadas pela Coreia do Sul, Ucrânia, Rússia e vários outros países europeus. De acordo com a amostra de ameaças analisada pelos pesquisadores da Check Point, a campanha mais recente do grupo norte-coreano tem como alvo a região da Ásia-Pacífico.

O grupo norte-coreano Konni implanta malware gerado por IA

No relatório, os pesquisadores afirmaram que o malware foi enviado por usuários que o encontraram no Japão, na Índia e na Austrália. O ataque começa com a vítima recebendo um link do Discord que entrega um arquivo ZIP contendo um PDF enganoso e um atalho LNK malicioso. O LNK executa um carregador PowerShell embutido que extrai um documento DOCX e um arquivo CAB contendo um backdoor em PowerShell, dois arquivos em lote e um executável para burlar o UAC (Controle de Conta de Usuáriotrac.

Após a execução do atalho, o arquivo DOCX abre e executa um arquivo em lote incluído no arquivo CAB. O documento DOCX de isca mostra que o hacker deseja comprometer o ambiente de desenvolvimento, o que poderia lhe dar acesso a ativos sensíveis, incluindo infraestrutura,dentde API, acesso à carteira e, finalmente, ativos digitais. O primeiro arquivo em lote cria um diretório de preparação para o backdoor e o segundo arquivo em lote...

Além disso, ele também cria uma tarefa agendada a cada hora que imita a tarefa de inicialização do OneDrive. A tarefa lê um script do PowerShell criptografado com XOR do disco e o descriptografa para execução na memória. Após concluir todas essas etapas, ele se exclui para eliminar todos os vestígios de infecção. O backdoor do PowerShell mascara fortemente sua origem usando codificação de strings baseada em aritmética, reconstrução de strings em tempo de execução e a execução da lógica final usando “Invoked-Expression”

De acordo com os pesquisadores, o malware em PowerShell indica a presença de um desenvolvimento assistido por IA, em vez de um malware escrito tradicionalmente. As evidências que mostram isso incluem a documentação clara e estruturada no início do script, o que é muito incomum para o desenvolvimento de malware. Além disso, ele tem um layout limpo e modular e a presença de um “# hackers”.

Pesquisadores da Check Point fornecem detalhes sobre o malware

Os pesquisadores explicaram que a frase também mostra que o modelo instrui um usuário humano sobre como personalizar o valor do espaço reservado. Eles disseram que esses comentários são comuns em scripts e tutoriais gerados por IA. Antes da execução, o malware realiza uma verificação de hardware, software e atividade do usuário para garantir que não esteja sendo executado em ambientes de análise. Uma vez determinado isso, ele gera um ID de host exclusivo. Depois disso, segue um caminho de ação específico.

Uma vez que a porta dos fundos esteja totalmente ativada e em execução no dispositivo infectado, o malware contata o servidor de comando e controle (C2) periodicamente para enviar metadados do host e consulta o servidor em intervalos aleatórios. Se o C2 contiver código PowerShell, ele se transforma em um bloco de script e executa suas atividades usando tarefas em segundo plano. A Check Point observou que esses ataques podem ser atribuídos ao grupo de ameaças norte-coreano Konni, com base no formato do lançador e no nome da isca utilizados anteriormente.

Além disso, os pesquisadores afirmaram que, além da sobreposição no nome do script, existem outros elementos comuns na estrutura da cadeia de execução com ataques anteriores. Os pesquisadores também publicaram indicadores de comprometimento associados a essa campanha recente para ajudar os defensores a reconhecerem quando foram atacados pela campanha , para que possam proteger seus ativos.