Il gruppo di Redmond ha reso noto di aver chiesto e ottenuto a fine anno il controllo di 50 domini ritenuti associati a un gruppo di cracker con base nella Corea del Nord, registrati con il solo scopo di ingannare gli utenti al fine di carpirne informazioni e credenziali di accesso. Stiamo parlando di indirizzi come hotrnall.com, office356-us.org e mai1.info.
Microsoft contro Thallium: cracker dalla Corea del Nord
Nel post condiviso sul blog ufficiale Microsoft punta il dito nei confronti di un’entità battezzata Thallium, operativa con il fine di colpire autorità governative e università, in particolare negli Stati Uniti, in Giappone e nella Corea del Sud. Nel mirino anche le organizzazioni impegnate al fine di promuovere la pace nelle zone di conflitto, per sostenere i diritti umani e per affrontare le problematiche in campo nucleare.
La pratica attuata è quella etichettabile come il più classico dei tentativi di phishing: email apparentemente legittime, ma contenenti link verso i siti contraffatti dove alle vittime è chiesto di inserire username e password per l’accesso agli account.
Ad un occhio poco allenato o non attento i messaggi possono sembrare provenienti da un mittente affidabile. In alcune occasioni dal dominio rnicrosoft.com, dove la “m” iniziale è sostituita affiancando “r” e “n”, simulando così in modo difficile da identificare il sito ufficiale della società. Nonostante azioni di questo tipo si verifichino ormai da lungo tempo, sembrano non aver perso la loro efficacia: stando ad alcuni report recenti gli attacchi evolvono, facendosi sempre più subdoli, trovando nuove strade per frodare gli utenti allungando così le mani su credenziali, informazioni e talvolta metodi di pagamento.
A Thallium è attribuita anche la paternità di diversi malware come BabyShark e KimJongRAT, quest’ultimo dal nome chiaramente ispirato a quello del dittatore di Pyongyang.