ReconShark
A Sentinel Labs jelentése szerint az észak-koreai Kimsuky csoport felderítő rosszindulatú programjának új verzióját alkalmazta, amelyet ReconShark-nak neveztek el.
A kutatók szerint a Kimsuky kibővítette célzási körét, és Egyesült Államokban, Európában és Ázsiában is kormányzati szervezeteket, kutatóközpontokat, egyetemeket és agytrösztöket vesznek célba. 2023 márciusában a dél-koreai és német hatóságok arra figyelmeztettek, hogy a Kimsuky rosszindulatú Chrome-bővítményeket kezdett terjeszteni, amelyek Gmail-fiókokat használtak ki, és egy távoli hozzáférésű trójaiként szolgáló Android kémprogramot is használtak.
Kimsuky jól kidolgozott és személyre szabott adathalász e-maileket használ, hogy megfertőzze célpontjait a ReconShark rosszindulatú programmal. Ezek az e-mailek egy Microsoft OneDrive-on tárolt, rosszindulatú, jelszóval védett dokumentumra mutató hivatkozást tartalmaznak, hogy minimálisra csökkentsék az e-mail biztonsági eszközök riasztásának esélyét.
Amikor a célpont megnyitja a letöltött dokumentumot, és az utasításoknak megfelelően engedélyezi a makrókat, a beágyazott ReconShark kártevő aktiválódik.
A ReconShark a Sentinel Labs elemzői szerint a Kimsuky-féle „BabyShark” rosszindulatú program továbbfejlesztése.
