Nota: O seguinte artigo irá ajudá-lo com: Twitter suspende contas usadas para pesquisadores de segurança bagre
Não basta que nós, internautas, tenhamos cuidado com nossas atividades online. Devemos ser –– se isso ajudar, então empregar todas as medidas de precaução para manter seus dispositivos, contas e atividades online seguros e protegidos.
O Twitter, uma popular plataforma de mídia social, suspendeu duas contas, @lagal1990 e @shiftrows13. Essas contas são usadas especificamente para enganar pesquisadores de segurança para baixar malware em uma campanha de espionagem cibernética de longa duração creditada à Coreia do Norte.
Relacionado: Mais de 50 mil avisos foram enviados para hacks apoiados pelo governo, diz o Google
Inicialmente, a campanha foi descoberta pelo Grupo de Análise de Ameaças do Google (TAG) em janeiro e ainda está em andamento. Finalmente, na sexta-feira, o analista da TAG Adam Weidermann confirmou que o Twitter fechou as duas contas acima mencionadas como parte da operação.
Esta não é a primeira vez que o Twitter suspende contas ligadas à campanha de espionagem. De fato, esta é a segunda vez que a plataforma atua contra a questão ligada à República Popular Democrática da Coreia (RPDC) –– a primeira foi em agosto.
Ler:
“Nós (TAG) confirmamos que isso está diretamente relacionado ao conjunto de contas sobre as quais escrevemos no blog no início deste ano”, disse Weidermann. “No caso de @lagal1990, eles renomearam uma conta do GitHub anteriormente pertencente a outro de seus perfis do Twitter que foi encerrado em agosto, @mavillon1.”
Nós (TAG) confirmamos que isso está diretamente relacionado ao cluster de contas sobre as quais escrevemos no blog no início deste ano. No caso de lagal1990, eles renomearam uma conta do github anteriormente pertencente a outro de seus perfis do Twitter que foi encerrado em agosto, mavillon1 pic.twitter.com/FXQ0w57tyE
— Adam (@digivector) 15 de outubro de 2021
De acordo com a análise de janeiro de Weidermann, os atores mal-intencionados criaram um blog de “pesquisa” e usaram os perfis do Twitter para distribuir links para obter alvos em potencial, também conhecidos como vítimas.
Além disso, eles usaram as contas para postar vídeos de supostas explorações e para aumentar e retweetar postagens de outras contas do Twitter que eles possuem e controlam.
Duas contas já foram encerradas pelo Twitter
Agora, a campanha em andamento tem como alvo pesquisadores de segurança usando o que eles mais se importam – bugs e pesquisas. Weidermann detalhou que ambas as contas do Twitter se aram por pesquisadores de segurança, “apoiando-se no hype de 0 dias para ganhar seguidores e construir credibilidade”.
Leia também: Google combate vulnerabilidade de dia zero em nova atualização do Chrome
A TAG do Google rastreou os agentes de ameaças por trás da campanha até uma entidade governamental sediada na Coreia do Norte. Também foi identificado o que os analistas chamam de uma “nova” tática de engenharia social que esses atores estão usando para atingir pesquisadores de segurança específicos por meio de colaboração.
“Depois de estabelecer as comunicações iniciais, os atores perguntavam ao pesquisador-alvo se queriam colaborar juntos na pesquisa de vulnerabilidades e, em seguida, forneceriam ao pesquisador um projeto do Visual Studio”, acrescentou Weidermann.
Mal sabiam eles que o projeto estava envenenado, “dentro do Visual Studio Project estaria o código-fonte para explorar a vulnerabilidade, bem como uma DLL adicional que seria executada por meio do Visual Studio Build Events”, continuou Weidermann. “A DLL é um malware personalizado que começaria imediatamente a se comunicar com [command-and-control, or C2] domínios.”
O Google TAG forneceu a captura de tela abaixo, que mostra um exemplo do VS Build Event.
Muitos pesquisadores de segurança são vítimas da campanha. Abaixo, um pesquisador de segurança foi ao Twitter para detalhar o que aconteceu quando decidiu colaborar e descreveu o que aconteceu a seguir.
Os atores mal-intencionados parecem ser pesquisadores de segurança confiáveis por direito próprio, tendo postado vídeos de explorações em que trabalharam. Isso também inclui fingir o sucesso da exploração em que eles trabalharam.
Ataques não têm chance em sistemas atualizados
Se você deseja se proteger por esse tipo de campanha, sistemas atualizados farão o trabalho por você. Descobriu-se que os pesquisadores de segurança que foram vitimados não estavam executando a versão mais recente de seu sistema operacional.
Weidermann disse em janeiro, “no momento dessas visitas, os sistemas das vítimas estavam executando versões totalmente corrigidas e atualizadas do Windows 10 e do navegador Chrome”.
Isso mostra que os agentes de ameaças estavam usando zero dias.
Relacionado: O Google alerta os usuários sobre quatro vulnerabilidades de alto nível e pede que atualizem o Chrome agora
E com certeza, depois que o Google TAG descobriu a campanha pela primeira vez, pesquisadores de segurança sul-coreanos descobriram que os agentes de ameaças estão explorando um dia zero do Internet Explorer.
Mais notícias de tecnologia:
