بر اساس گزارشهای منتشر شده، یک مهاجم وابسته به کشور کره شمالی با نام «کیمسوکی»، کمپینی را آغاز کرده و از تاکتیک جدیدی استفاده میکند. در این روش، او قربانیان را فریب میدهد تا PowerShell را با دسترسی مدیر سیستم (Run as Administrator) اجرا کرده و سپس کد مخرب ارائه شده را کپی و اجرا کنند.
محققان امنیتی اعلام کردهاند که این مهاجم با جعل هویت یک مقام دولتی کره جنوبی، بهتدریج با قربانی ارتباط برقرار میکند و سپس، در مرحله نهایی، یک ایمیل فیشینگ هدفمند همراه با یک فایل PDF آلوده برای او ارسال میکند.
قربانیان برای مشاهده فایل PDF فریب داده میشوند تا روی یک لینک کلیک کنند که آنها را به یک فرآیند ثبت سیستم ویندوز هدایت میکند. این لینک از آنها میخواهد PowerShell را با دسترسی مدیر سیستم اجرا کرده و کد نمایش دادهشده را در ترمینال کپی و اجرا کنند.
اگر قربانی این مراحل را انجام دهد، کد مخرب یک ابزار دسترسی از راه دور مبتنی بر مرورگر را دانلود و نصب میکند. در ادامه سپس، یک فایل گواهی را همراه با یک PIN کدگذاریشده، از سرور راه دور دریافت میکند.
شرکت مایکروسافت اعلام کرد که این شیوه از حمله را در حملات محدودی از ژانویه ۲۰۲۵ مشاهده کرده است.
این کمپین و همچنین حملاتی که از روش معروف به «ClickFix» استفاده میکنند، در ماههای اخیر به طور چشمگیری افزایش یافتهاند، که بخشی از آن به این دلیل است که اجرای این حملات وابسته به اقدامهای نادرست و نا آگاهانه قربانیان است.
توضیحات بیشتر:
- North Korean Hackers Exploit PowerShell Trick to Hijack Devices in New Cyberattack