- Grupo norte-coreano Kimsuky amplia alvo para a indústria farmacêutica, utilizando um arquivo disfarçado de planilha Excel para instalar malware de forma silenciosa.
- A isca é um suposto documento corporativo chamado “White Life Science ERP Specification”, apresentado como material legítimo de negócios.
- O artefato malicioso não é uma planilha real: é um atalho do Windows (.lnk) preparado para parecer um documento de Excel, levando o usuário a executá-lo.
- Ao ser aberto, o arquivo dispara uma cadeia de execução em várias etapas — LNK, XML, JavaScript e PowerShell — dificultando a detecção.
- O alvo, no setor farmacêutico, aumenta o risco de espionagem e monitoramento de pesquisas; as recomendações incluem bloquear atalhos suspeitos, monitorar cadeias envolvendo PowerShell e reforçar treinamentos sobre recebimento de documentos fora de fluxos esperados.
Uma campanha atribuída ao grupo norte-coreano Kimsuky mira empresas farmacêuticas com um arquivo disfarçado de planilha Excel. O objetivo é instalar malware de forma silenciosa, sem chamar a atenção inicial da vítima.
O artefato malicioso usa o rótulo “White Life Science ERP Specification” para parecer documento corporativo legítimo. Ao ser aberto, não é uma planilha real, e sim um atalho Windows (.lnk) disfarçado de Excel.
Ao ser executado, o arquivo dispara uma cadeia oculta de instruções que envolve LNK, XML, JavaScript e PowerShell. O encadeamento em várias etapas facilita a ocultação da atividade maliciosa.
O alvo envolve empresas farmacêuticas, com potencial acesso a pesquisas, formulários proprietários e documentação regulatória. Em alguns casos, informações de pacientes e estudos clínicos estão em jogo.
Essa abordagem reforça a criatividade do Kimsuky, que já atuava contra governo, academia e pesquisa. A identidade visual compatível com o setor aumenta a credibilidade da armadilha sem depender de técnicas mais barulhentas.
Para o setor, a campanha evidencia a necessidade de bloquear atalhos suspeitos e monitorar cadeias que envolvam PowerShell. Recomenda-se revisar treinamentos internos sobre documentos recebidos fora de fluxos esperados.
Medidas de proteção sugeridas incluem restrições de execução de atalhos, detecção de LNK/PowerShell e verificação de anexos ou links recebidos por e-mail. Assegurar práticas de ehavior analytics ajuda na identificação de comportamentos anômalos.
Entre na conversa da comunidade