Pesquisadores da Alyac identificaram uma campanha com um novo remote access trojan, batizado de KimJongRAT, que atinge usuários Windows por meio de arquivos .hta e atalhos disfarçados, com objetivo primário de roubo de credenciais e dados financeiros.
Vetores e cadeia de infecção
O ataque começa com phishing que entrega um arquivo compactado com nome enganoso (ex.: National Tax Notice). Ao abrir o arquivo, a vítima vê um atalho disfarçado como PDF (Tax notice.pdf) que, quando executado, aciona um comando oculto para decodificar uma URL em Base64 e invocar o utilitário legítimo Microsoft HTML Application (MSHTA) para contatar um servidor remoto.
Esse processo baixa um payload adicional chamado tax.hta, que contorna controles de segurança convencionais ao aproveitar serviços legítimos para hospedagem (por exemplo, Google Drive) e ao recuperar tanto documentos de isca quanto os binários maliciosos necessários para a próxima fase.
Comportamento, evasão e persistência
Alyac descreve o loader como implementado em VBScript com técnicas de evasão; o malware verifica o estado do Windows Defender antes de prosseguir — usando um trecho que executa um comando e procura pela string "STOPPED" no output. Se o Defender estiver parado, baixa um arquivo denominado v3.log (payload primário); se estiver ativo, obtém pipe.log como alternativa para contornar a detecção.
Independentemente do caminho, o agente cria persistência registrando-se no registro do Windows para garantir execução automática e exfiltra dados periodicamente.
Alvo e dados visados
O KimJongRAT coleta um amplo conjunto de informações: detalhes do sistema, armazenamento do navegador, chaves de criptografia e, de forma explícita nas fontes, procura por informações de carteiras de criptomoedas e credenciais para plataformas de comunicação como Telegram e Discord — o que aponta para objetivo financeiro e de credenciais.
Hospedagem e logística operacional
O uso de serviços legítimos (Google Drive) para hospedar componentes e o abuso do MSHTA para execução demonstram táticas de living-off-the-land e abuso de infraestrutura confiável para reduzir detecção e bloqueio inicial. As fontes mostram como o fluxo de erro/alternativa é adaptado ao estado de segurança do host.
Limitações das fontes
As análises disponíveis detalham o fluxo de infecção, nomes de arquivos observados (tax.hta, v3.log, pipe.log) e técnicas de evasão, mas não quantificam vítimas nem atribuem com certeza a um ator específico — embora mencionem ligação provável ao grupo Kimsuky nas descrições.
Implicações práticas
- Reforçar a validação de anexos e arquivos compactados em e-mails, especialmente arquivos que contenham atalhos disfarçados (.lnk) e HTA.
- Bloquear ou monitorar execução de MSHTA e outras LOLBins em estações que não exigem essas ferramentas para o trabalho diário.
- Empregar detecção de comportamento para downloads secundários e para atividades de extração de dados dos navegadores e arquivos de carteira.