Grupo de hackers norte-coreano usa phishing para espalhar malware

BR Defense Center (By River de Morais e Silva)
malware

O grupo de hackers patrocinado pelo Estado norte-coreano, conhecido como ScarCruft (ou APT37), foi identificado utilizando mensagens de spear-phishing que se disfarçam como notificações de segurança de contas da Microsoft para disseminar um malware chamado NarwhalRAT. Segundo o Genians Security Center (GSC), o e-mail malicioso simula um alerta de segurança, criando uma falsa preocupação sobre possíveis compromissos de conta e abuso de senhas de uso único (OTP), levando a vítima a abrir um anexo. Este anexo, na verdade, é um arquivo ZIP que contém um arquivo LNK malicioso. Ao ser executado, o arquivo LNK inicia uma cadeia de infecção em múltiplas etapas, baixando e instalando o NarwhalRAT, que é capaz de registrar teclas, capturar telas, gravar áudio ambiente e executar comandos de um servidor de comando e controle (C2). O malware se destaca por sua capacidade de se esconder em um diretório disfarçado, evitando a detecção. A infraestrutura de C2 utiliza sites coreanos e a API de armazenamento em nuvem pCloud, o que indica um nível avançado de sofisticação. Essa nova abordagem do ScarCruft representa uma evolução em suas táticas, marcando uma mudança significativa em relação ao RokRAT, um malware anteriormente associado ao grupo.

Fonte: https://thehackernews.com/2026/06/fake-microsoft-alerts-used-to-deploy.html

⚠️
BR DEFENSE CENTER: SECURITY BRIEFING
16/06/2026 • Risco: ALTO
MALWARE

Grupo de hackers norte-coreano usa phishing para espalhar malware

RESUMO EXECUTIVO
O ataque do ScarCruft representa uma ameaça significativa, utilizando técnicas de phishing para comprometer contas de usuários da Microsoft. A capacidade do NarwhalRAT de operar de forma furtiva e coletar dados sensíveis destaca a necessidade de vigilância e resposta rápida por parte das equipes de segurança.

💼 IMPACTO DE NEGÓCIO

Financeiro
Potenciais perdas financeiras devido ao roubo de dados e interrupções operacionais.
Operacional
Roubo de dados sensíveis, controle remoto de dispositivos comprometidos.
Setores vulneráveis
['Tecnologia', 'Finanças', 'Educação']

📊 INDICADORES CHAVE

Uso de múltiplas etapas na infecção. Indicador
Capacidade de registrar teclas e capturar áudio. Contexto BR
Utilização de infraestrutura de C2 baseada em sites coreanos. Urgência

⚡ AÇÕES IMEDIATAS

1 Verificar logs de acesso e atividades suspeitas em contas Microsoft.
2 Implementar treinamentos de conscientização sobre phishing para os colaboradores.
3 Monitorar continuamente atividades de login e tentativas de acesso não autorizadas.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a crescente sofisticação de ataques de phishing, especialmente aqueles que visam plataformas amplamente utilizadas como a Microsoft.

⚖️ COMPLIANCE

Implicações para a conformidade com a LGPD, especialmente em relação ao tratamento de dados pessoais.
Status
ativo
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).