Alertă de securitate cibernetică în România. DNSC: Atacatori coreeni țintesc servicii de încredere precum Dropbox și Google Drive, pentru a evita detecția

DNSC a emis o alertă de securitate cibernetică pentru România. Reprezentanții Directoratului Național de Securitate Cibernetică anunță că este în plină desfășurare o campanie de phishing, iar aceasta este atribuită grupării nord-coreene Konni.

DNSC: Alertă de securitate cibernetică în România

DNSC a făcut anunțul miercuri, 19 martie 2025, într-un comunicat:

O nouă campanie de phishing în desfășurare a fost identificată (10.03) de către Directoratul Național de Securitate Cibernetică prin date obținute din monitorizarea surselor deschise din spațiul cibernetic.

Potrivit informațiilor notificate de către sursele citate, coroborate cu rezultatele analizei specialiștilor din cadrul DNSC, campania este foarte probabil atribuită grupării #Konni asociată adeseori cu actorii statali nord coreeni #NK identificați în comunitatea de specialitate drept #APT37, respectiv #Kimsuki.

Infractorii cibernetici urmăresc infectarea inițială a internauților vizați: atașează unele fișieze malițioase de tip #LNK în email-urile trimise. Mai apoi, malware-ul este descărcat folosind inclusiv infrastructura cibernetică a unor furnizori de servicii de tip cloud de încredere în relația cu cei care pică-n plasă (exemplu: Dropbox, Google Drive).

Recomandări pentru români

Directoratul Național de Securitate Cibernetică are câteva recomandări pentru internauți:

• Nu deschideți fișiere .LNK primite pe e-mail.
• Verificați cu atenție fișierele suspecte.
• Folosiți soluții antivirus și scanați fișierele suspecte pe VirusTotal.

Cum are loc atacul cibernetic

Analiza atacurilor cibernetice recente atribuite grupului #NK #Konni a evidențiat utilizarea fișierelor de tip #LNK pentru a distribui malware-ul #AsyncRAT. Această metodă implică folosirea fișierelor de comandă rapidă specifice sistemului de operare #Windows pentru a executa comenzi malițioase fără a necesita macrocomenzi, o tehnică adoptată pe scară largă de atacatori pentru a evita măsurile de securitate care blochează macrocomenzile în documentele specifice suitei Office a companiei Microsoft, explică experții DNSC.

Mai exact, în momentul care utilizatorii vizați le accesează, fișierele malițioase fac un script Power Shell ascuns în structura acestora, care descarcă și deschide un document fals pentru a distrage atenția, în timp ce instalează malware-ul AsyncRAT pe sistemul victimei.

Pentru descărcarea și instalarea payload-urilor malițioase în diferite etape ale atacului, atacatorii utilizează atât servere proxy de comandă și control (C&C), cât și soluții de la furnizori de servicii de tip #cloud cunoscute, precum #Dropbox și #GoogleDrive.

DNSC a făcut anunțul și pe Facebook:

Te-ar mai putea interesa și:

• Casa Dinu Lipatti e de vânzare. Monumentul de pe Lascăr Catargiu costă aproape 1.200.000 €, iar un ONG ne propune să-l cumpărăm noi, bucureștenii