Nhóm tin tặc do nhà nước Triều Tiên bảo trợ, được biết đến với tên gọi ScarCruft (hay APT37), đã bị phát hiện sử dụng các tin nhắn lừa đảo có chủ đích (spear-phishing) giả mạo thông báo bảo mật tài khoản Microsoft để phát tán phần mềm độc hại có tên NarwhalRAT.
“Email tấn công chứa một tin nhắn giả mạo cảnh báo bảo mật tài khoản MS,” Trung tâm An ninh Genians (GSC) cho biết. “Nó được thiết kế để tạo ra lo ngại về khả năng tài khoản bị xâm phạm và lạm dụng mã OTP, từ đó khiến người nhận thực thi tệp đính kèm.”
“Nội dung email hướng dẫn người nhận tham khảo thông báo đính kèm. Tuy nhiên, tệp đính kèm thực tế không phải là tài liệu HWP [phần mềm xử lý văn bản tiếng Hàn], mà là một tệp lưu trữ ZIP chứa tệp LNK độc hại.”
Tin nhắn email tuyên bố “hoạt động bất thường” liên quan đến việc tạo mật khẩu dùng một lần lặp đi lặp lại, giả mạo đây là một nỗ lực lừa đảo nhắm vào tài khoản Microsoft của mục tiêu bởi bên thứ ba, và thúc giục họ thay đổi mật khẩu. Mục tiêu cuối cùng của tin nhắn lừa đảo là tạo ra cảm giác khẩn cấp giả tạo và đánh lừa nạn nhân hiểu email là một cảnh báo bảo mật hợp pháp