Люди, интересующиеся всем, что связано с Северной Кореей, становятся мишенью для очень специфического вредоносного ПО.
Исследователи кибербезопасности из Trend Micro (откроется в новой вкладке) (через BleepingComputer) недавно наблюдали, как Earth Kitsune, зарождающийся субъект угроз, взломал про-северокорейский веб-сайт, а затем использовал этот сайт для доставки бэкдора, получившего название WhiskerSpy.
Вредоносная программа позволяет злоумышленникам красть файлы, делать снимки экрана и развертывать дополнительные вредоносные программы на скомпрометированной конечной точке.
вредоносное ПО WhisperSpy
По словам исследователей, когда определенные люди посещают веб-сайт и ищут видеоконтент, им будет предложено сначала установить видеокодек. Те, кто попадется на эту уловку, загрузят модифицированную версию законного кодека (Codec-AVC1.msi), который устанавливает бэкдор WhiskerSpy.
Бэкдор предоставляет злоумышленникам ряд различных возможностей, включая загрузку файлов на скомпрометированную конечную точку, загрузку файлов, их удаление, их перечисление, создание снимков экрана, загрузку исполняемых файлов и вызов их экспорта, а также внедрение шелл-кода в процессы.
Затем бэкдор связывается с сервером управления и контроля вредоносного ПО (C2), используя 16-байтовый ключ шифрования AES.
Но не все посетители подвержены риску. На самом деле есть вероятность, что только небольшая часть посетителей является мишенью, поскольку Trend Micro обнаружила, что бэкдор активируется только тогда, когда посетители из Шэньяна, Китай, или Нагои, Япония, открывают сайт.
По правде говоря, людям из Бразилии также было предложено загрузить бэкдор, но исследователи считают, что Бразилия использовалась только для проверки того, работает ли атака или нет.
В конце концов, исследователи обнаружили, что IP-адреса в Бразилии принадлежат коммерческой службе VPN.
После установки вредоносная программа делает все возможное, чтобы сохраниться на устройстве. Судя по всему, Earth Kitsune использует собственный узел обмена сообщениями в браузере Google Chrome для установки вредоносного расширения под названием Google Chrome Helper. Это расширение будет запускать полезную нагрузку каждый раз при запуске браузера.