KimJongRAT ataca usuários do Windows por meio de arquivos HTA maliciosos – Against Invaders

KimJongRAT ataca usuários do Windows por meio de arquivos HTA maliciosos - Against Invaders

Pesquisadores de segurança confirmaram que KimJongRAT, um sofisticado Trojan de acesso remoto atribuído ao grupo Kimsuky e que se acredita ser apoiado pela Coreia do Norte, está sendo distribuído ativamente por meio de arquivos .hta armados, direcionados a usuários do Windows.

A descoberta revela uma cadeia de ataque cuidadosamente orquestrada, projetada para coletar credenciais confidenciais e informações do sistema de máquinas comprometidas.

A carga maliciosa está sendo distribuída sob o nome de arquivo enganoso National Tax Notice.pdf como um arquivo compactado denominado tax_notice.zip, com a entrega inicial ocorrendo por meio de e-mails de phishing.

Esta tática de engenharia social aproveita a confiança depositada nos avisos fiscais oficiais do governo para aumentar a probabilidade de interação do utilizador, visando particularmente indivíduos em regiões onde tais comunicações são esperadas.

Depois que um usuário extrai o arquivo, ele encontra um arquivo Ink disfarçado como um documento Tax Notice.pdf legítimo.

Essa técnica de ofuscação tenta enganar os usuários para que executem a carga maliciosa. Quando executado, o arquivo Ink decodifica um valor de URL codificado em Base64 usando mshta, da Microsoft. Aplicativo HTML utilitário host, para baixar uma carga adicional.

O sistema comprometido então redireciona e executa o arquivo tax.hta, progredindo na cadeia de infecção.

O carregador tax hta é implementado em VBScript e serve como o principal mecanismo de execução do ataque. Após a ativação, ele baixa arquivos maliciosos juntamente com documentos falsos enquanto tenta contornar as proteções de segurança usando Google Drive URLs.

Essa abordagem em vários estágios permite que os invasores evitem a detecção por soluções de segurança tradicionais que podem sinalizar conexões diretas ao servidor como suspeitas.

Uma característica crítica deste ataque é o seu mecanismo adaptativo de entrega de carga útil. O malware verifica o status do Windows Defender no sistema infectado e descarta diferentes cargas dependendo se o software de segurança está em execução ou desabilitado.

Se Windows Defender está desabilitado, o arquivo v3.log é baixado, baixando e executando um arquivo n64.log.

Este arquivo coleta vários dados comprometidos, incluindo informações do sistema, dados de armazenamento do navegador, chaves de criptografia, informações da carteira de criptomoeda, Contas de telegramacredenciais do Discord e chaves de criptografia do navegador.

Por outro lado, se o Windows Defender estiver ativado, o arquivo PC.log será baixado.

Esta variante executa operações semelhantes de coleta de dados, mas com mecanismos de persistência adicionais por meio de modificações no registro para garantir a coleta contínua de credenciais e a transmissão de informações do usuário.

Como os usuários podem detectar e prevenir a ameaça

O malware apresenta fortes características de segmentação específicas para o mercado doméstico, sugerindo uma criação precisa para atores de ameaças regionais.

As organizações são aconselhadas a manter as instalações atualizadas do Windows e do Windows Defender, ativar funções de visualização de extensão de arquivo em Explorador de arquivose tenha cuidado ao processar arquivos e extensões, especialmente aqueles recebidos por meio de comunicações por e-mail.

O uso de modelos de avisos fiscais localizados e elementos de interface em idioma coreano indicam que esta campanha foi projetada explicitamente para um público geográfico específico, tornando-a uma operação altamente direcionada, em vez de distribuição oportunista de malware.

Atividade recente confirma que os ataques baseados em HTA continuam a ser uma metodologia eficaz. A extensão do arquivo permite a execução direta da Internet usando mshta, ignorando os avisos de inicialização segura do Windows e evitando a execução de prompts de extensão de arquivo normalmente mostrados antes da execução dos arquivos.

Esta técnica continua a ser um dos métodos de ataque mais eficazes, frequentemente implementados por agentes de ameaças em todo o mundo.

A Microsoft continua a reforçar as implementações de segurança para combater tais ameaças.

Especialistas em segurança alertam que arquivos maliciosos relacionados associados a esta campanha são atualmente detectados como Trojan.Agent.LlhK.Gen, Trojan.Downloader.VBS.Agent e variantes relacionadas em plataformas de segurança, permitindo que os defensores identifiquem e bloqueiem essas ameaças em ambientes corporativos.

Siga-nos emGoogle Notícias,LinkedIneXpara obter atualizações instantâneas e definir GBH como fonte preferencial emGoogle.

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.