Especialistas das unidades do grupo de análise de ameaças do Google avisam que o grupo de hackers é presumivelmente com o apoio do governo norte-coreano continua a atacar os pesquisadores no campo da segurança da informação. Eles oferecem-lhes cooperação em nome de uma falsa empresa de segurança cibernética, e no processo de interação, introduzem softwares maliciosos nos computadores das vítimas.
A atividade desse grupo primeiro atraiu a atenção dos pesquisadores do Google Tag em janeiro deste ano. O relatório diz que para organizar suas atividades, hackers criaram uma rede de perfis em várias redes sociais, incluindo Twitter, LinkedIn e KeyBase. Os atacantes em nome de uma empresa inexistente da cibersegurança estão associadas a pesquisadores e oferecem cooperação, durante as quais eles enviam arquivos contendo código malicioso.
«Para entrar em contato com pesquisadores no campo da segurança da informação e conquistar sua confiança, os invasores criaram um blog de pesquisa e vários perfis no Twitter para interagir com possíveis vítimas. Eles usam os perfis criados no Twitter para colocar links para o blog, publicando vídeo e registros de mensagens de outras contas sob seu controle “, disse especialistas em tags.
Depois de estabelecer contato com vítimas potenciais, os atacantes os enviaram um projeto do Visual de Projeto Malicioso, contendo backdoor. Além disso, eles podem pedir para visitar o blog, preenchidos com código malicioso, incluindo explorações do navegador. Os pesquisadores dizem que desde a primeira detecção, os hackers mudaram táticas criando em 17 de março de uma empresa falsa SecureLite, que é supostamente baseada na Turquia e trabalha no campo da segurança da informação. Como resultado, outro site malicioso apareceu na rede, e novos perfis referidos foram criados em redes sociais.
De acordo com relatórios, pesquisadores de redes sociais notificadas com Tag sobre todos os perfis identificados que pertencem a intrusos. Provavelmente, no futuro próximo, eles serão bloqueados.