Alertă DNSC. Campanii phishing, în plină desfăşurare. Infractorii cibernetici se folosesc de Dropbox sau GoogleDrive

$Alertă DNSC. Campanii phishing, în plină desfăşurare. Infractorii cibernetici se folosesc de Dropbox sau GoogleDrive$

SURSA FOTO: Dreamstime

19 martie 2025, 14:38 de Dumitrescu Cătălin

Ultima modificare în 19 martie 2025, 14:40

Directoratul Naţional de Securitate Cibernetică (DNSC) a emis miercuri un avertisment important cu privire la o campanie de phishing în desfășurare, atribuită grupării nord-coreene Konni. Atacatorii vizează utilizatorii printr-o metodă de infecție care implică atașarea unor fișiere malițioase de tip LNK în email-urile trimise.

Phishing, o armă eficientă

Scopul acestui atac phishing este de a infecta sistemele utilizatorilor, iar malware-ul este descărcat ulterior prin intermediul infrastructurii cibernetice a unor furnizori de servicii cloud de încredere, cum sunt Dropbox sau GoogleDrive. Acest tip de tehnică face ca atacul să fie mai greu de detectat, întrucât folosește platforme care sunt de obicei considerate sigure.

”O nouă campanie de phishing în desfăşurare a fost identificată (10.03) de către Directoratul Naţional de Securitate Cibernetică prin date obţinute din monitorizarea surselor deschise din spaţiul cibernetic. (,,,) Campania este foarte probabil atribuită grupării Konni asociată adeseori cu actorii statali nord coreeni, identificaţi în comunitatea de specialitate drept APT37, respectiv Kimsuki”, a transmis, miercuri, DNSC.

Ce se urmărește

Acest tip de atac folosește platforme de stocare cloud, care sunt, în mod normal, considerate sigure și de încredere, pentru a masca activitățile malițioase și a face mai dificilă detectarea acestora.

Specialiștii subliniază importanța vigilenței utilizatorilor în fața unor astfel de amenințări și recomandă să fie evitate accesarea fișierelor sau linkurilor suspecte primite prin email, chiar dacă provin din surse aparent de încredere.

”Atacatorii urmăresc infectarea iniţială a utilizatorilor vizaţi prin ataşarea unor fişiere maliţioase de tip LNK în email-urile transmise. Ulterior, malware-ul este descărcat folosind inclusiv infrastructura cibernetică a unor furnizori de servicii de tip cloud de încredere în relaţia cu victimele (i.e., Dropbox, GoogleDrive)”, au mai transmis specialiştii.

Cum se derulează atacul

Specialiștii au explicat că analiza atacurilor cibernetice recente atribuite grupului nord-coreean Konni a evidențiat utilizarea fișierelor de tip LNK pentru a distribui malware-ul AsyncRAT.

Această metodă implică folosirea fișierelor de comandă rapidă specifice sistemului de operare Windows pentru a executa comenzi malițioase fără a necesita macrocomenzi, o tehnică adoptată pe scară largă de atacatori pentru a evita măsurile de securitate care blochează macrocomenzile în documentele din suita Office a companiei Microsoft.

În mod specific, odată accesate de utilizatorii vizați, fișierele malițioase execută un script PowerShell ascuns în structura acestora, care descarcă și deschide un document fals pentru a distrage atenția, în timp ce instalează malware-ul AsyncRAT pe sistemul victimei.

Conform acestora, atacatorii folosesc atât servere proxy de comandă și control (C&C), cât și servicii cloud de încredere, precum Dropbox și GoogleDrive, pentru a descărca și instala payload-urile malițioase în diverse etape ale atacului.

Konni, infractori cibernetici nord-coreeni

Konni, o grupare nord-coreeană activă în spațiul cibernetic încă din 2014, utilizează tehnici precum phishing și spear-phishing pentru a viza în mod preponderent sistemele informatice din Coreea de Sud și Rusia. Aceasta este uneori asociată cu gruparea Kimsuky, legată de serviciile de informații militare din Coreea de Nord, responsabilă pentru atacuri lansate inclusiv în Statele Unite și Europa.

De asemenea, atacurile grupării Konni au ca scop principal exfiltrarea de date și informații din sistemele vizate, iar metodele de operare din spațiul cibernetic prezintă multiple similarități cu cele folosite de actorii statali APT37 și Lazarus Group.

Cum să ne apărăm

Fiţi informaţi: Verificați regulat actualizările de la DNSC privind riscurile, amenințările și vulnerabilitățile de securitate cibernetică pentru a fi la curent cu noile pericole.

Utilizaţi parole puternice: Asigurați-vă că parolele sunt complexe, lungi și unice pentru fiecare cont. Evitați utilizarea aceleași parole pentru mai multe conturi.

Activaţi autentificarea cu doi factori: Aceasta adaugă un nivel suplimentar de securitate pentru conturile dvs. online, protejându-le chiar și în cazul în care parola este compromisă.

Realizaţi backup-ul datelor: Faceți backup regulat al fișierelor importante pe un disc extern sau pe un serviciu de tip cloud pentru a preveni pierderea datelor în caz de atacuri sau defecțiuni ale sistemului.

Verificaţi tipul fişierului: Înainte de a rula un fișier, verificați tipul fișierului pentru a vă asigura că nu este un fișier „comandă rapidă” (LNK) care poate conține coduri rău intenționate. Dacă este un fișier LNK, evitați să îl rulați.

Nu deschideţi ataşamente din e-mailuri necunoscute: Nu rulați atașamentele din e-mailuri provenind de la surse necunoscute sau care par suspecte, deoarece acestea pot conține malware ce poate infecta sistemul.

Verificaţi expeditorul şi adresa de e-mail: Asigurați-vă că expeditorul e-mailului este o organizație de încredere și că adresa de e-mail este validă. Dacă expeditorul sau adresa pare suspectă, nu deschideți atașamentele.

Scanare antivirus: Dacă suspectați că un atașament este malițios, încărcați-l într-o scanare antivirus sau pe platforme gratuite precum #VirusTotal pentru a verifica dacă este periculos. Dacă fișierul este protejat cu parolă, încărcați-l după ce l-ați decompresat.