بر اساس یافتههای جدید مرکز اطلاعات امنیتی AhnLab (ASEC)، گروه هکری وابسته به کره شمالی که به نام Kimsuky شناخته میشود، در حال انجام حملات فیشینگ نیزهای برای ارسال یک بدافزار سرقت اطلاعات به نام forceCopy است.
حملات با ایمیل های فیشینگ حاوی یک فایل میانبر ویندوز (LNK) آغاز می شود که به عنوان یک سند مایکروسافت آفیس یا PDF پنهان شده است. باز کردن این پیوست باعث اجرای PowerShell یا mshta.exe می شود، یک باینری قانونی مایکروسافت که برای اجرای فایلهای HTML Application (HTA) طراحی شده است که مسئول دانلود و اجرای پیلودهای مرحله بعدی از یک منبع خارجی هستند. شرکت امنیت سایبری کره جنوبی گفت که این حملات با استقرار تروجان شناخته شده PEBBLEDASH و یک نسخه سفارشی از ابزار منبع باز Remote Desktop به نام RDP Wrapper به اوج خود رسید. تهدیدهای مداوم از سوی گروه کیمسوکی با استفاده از RDP Wrapper
https://thehackernews.com/2025/02/north-korean-apt-kimsuky-uses-lnk-files.html
