Az észak-koreai „Kimsuky” hackercsoport új stratégiát alkalmaz, amelyet a ClickFix kampányok inspiráltak. A Microsoft Threat Intelligence csapata szerint a Kimsuky dél-koreai kormányzati tisztviselőnek adja ki magát, hogy bizalmi kapcsolatot alakítson ki az áldozatokkal.
Amikor a bizalom eléri a kívánt szintet, a hackerek adathalász e-mailt küldenek egy PDF melléklettel. Az áldozatok, akik megpróbálják megnyitni a dokumentumot, egy hamis eszközregisztrációs linkre kattintanak, amely arra utasítja őket, hogy rendszergazdaként futtassák a PowerShell-t, és hajtsák végre a támadók által megadott kódot.
A kód futtatása után egy böngészőalapú távoli asztal eszköz települ az áldozat eszközére, amely egy hardcode-olt PIN kóddal letölt egy tanúsítványt, és regisztrálja az eszközt egy távoli szerverre. Ez közvetlen hozzáférést biztosít a támadóknak az áldozat adataihoz. A Microsoft 2025 januárjában észlelte ezt a taktikát, amelynek célpontjai nemzetközi kapcsolatokkal foglalkozó szervezetek, NGO-k, kormányzati ügynökségek és médiacégek Észak-Amerikában, Dél-Amerikában, Európában és Kelet-Ázsiában.
A Microsoft értesítette az érintett ügyfeleket, és figyelmezteti a felhasználókat, hogy legyenek óvatosak az új taktika miatt, és kezeljenek minden kéretlen kommunikációt fokozott elővigyázatossággal. „Bár csak korlátozott támadásokban figyeltük meg ennek a módszernek az alkalmazását 2025 januárja óta, ez a változás arra utal, hogy új megközelítést alkalmaznak a célpontjaik kompromittálására” – áll a Microsoft figyelmeztetésében. A felhasználóknak különösen óvatosnak kell lenniük, amikor olyan kódokat hajtanak végre a számítógépükön, amelyek online forrásból származnak, különösen, ha ahhoz rendszergazdai jogosultságok szükségesek.
