Microsoft sequestra 50 nomes de domínio do grupo de hackers Thallium

Microsoft postou sobre sua mais recente vitória contra grupos de hackers patrocinados pelo estado depois que o Tribunal Distrital dos EUA para o Distrito Leste da Virgínia concordou em permitir que a Microsoft confiscasse 50 nomes de domínio do grupo de hackers coreano Thallium, patrocinado pelo estado.

Essa rede foi usada para atingir vítimas e comprometer suas contas online, infectar seus computadores, comprometer a segurança de suas redes e roubar informações confidenciais. Com base nas informações das vítimas, os alvos incluíam funcionários do governo, grupos de reflexão, funcionários de universidades, membros de organizações focadas na paz mundial e direitos humanos e indivíduos que trabalham em questões de proliferação nuclear. A maioria dos alvos foi baseada nos EUA, bem como no Japão e na Coreia do Sul.

O tálio normalmente tenta enganar as vítimas através de uma técnica conhecida como spear phishing. Ao coletar informações sobre os indivíduos visados ​​nas mídias sociais, diretórios de pessoal público de organizações com as quais o indivíduo está envolvido e outras fontes públicas, a Thallium é capaz de criar um e-mail de spear phishing personalizado de forma a dar credibilidade ao e-mail ao alvo. O conteúdo foi projetado para parecer legítimo, mas uma análise mais detalhada mostra que a Thallium falsificou o remetente combinando as letras “r” e “n” para aparecer como a primeira letra “m” em “microsoft.com”.

O link no e-mail redireciona o usuário para um site solicitando as credenciais da conta do usuário. Ao enganar as vítimas para que cliquem nos links fraudulentos e forneçam suas credenciais, o Thallium pode fazer login na conta da vítima. Após o comprometimento bem-sucedido de uma conta de vítima, o Thallium pode revisar e-mails, listas de contatos, compromissos do calendário e qualquer outra coisa de interesse na conta comprometida. O tálio também cria uma nova regra de encaminhamento de e-mail nas configurações da conta da vítima. Essa regra de encaminhamento de e-mail encaminhará todos os novos e-mails recebidos pela vítima para contas controladas pelo Thallium. Ao usar as regras de encaminhamento, o Thallium pode continuar a ver os e-mails recebidos pela vítima, mesmo após a atualização da senha da conta da vítima.

Além de direcionar as credenciais do usuário, o Thallium também utiliza malware para comprometer sistemas e roubar dados. Uma vez instalado no computador da vítima, esse malware extrai informações dele, mantém uma presença persistente e aguarda mais instruções. Os agentes de ameaças do Thallium utilizaram malware conhecido chamado “BabyShark” e “KimJongRAT”.

Este é o quarto grupo de atividade de estado-nação contra o qual a Microsoft entrou com ações legais semelhantes para derrubar a infraestrutura de domínio maliciosa. Interrupções anteriores atingiram a Barium, operando na China, Estrôncio, operando a partir da Rússia, e Fósforo, operando a partir do Irã.

Para se proteger contra esse tipo de ameaça, a Microsoft sugere que os usuários habilitem a autenticação de dois fatores em todas as contas de email pessoais e comerciais. Em segundo lugar, os usuários precisam aprender como identificar esquemas de phishing e se proteger deles. Por último, ativar alertas de segurança sobre links e arquivos de sites suspeitos e cuidadosamente verifique seu encaminhamento de e-mail regras para qualquer atividade suspeita.