As pessoas com interesse em tudo relacionado à Coreia do Norte estão sendo alvo de um malware muito específico.
Pesquisadores de cibersegurança da Trend Micro (abre em nova aba)(via BleepingComputer) observaram recentemente Earth Kitsune, um ator de ameaça nascente, violando um site pró-Coreia do Norte e, em seguida, usando esse site para entregar um backdoor chamado WhiskerSpy.
O malware permite que os agentes de ameaças roubem arquivos, façam capturas de tela e implantem malware adicional no endpoint comprometido.
Malware WhisperSpy
De acordo com os pesquisadores, quando certas pessoas visitam o site e procuram executar conteúdo de vídeo, elas serão solicitadas a instalar um codec de vídeo primeiro. Aqueles que caem no truque baixam uma versão modificada de um codec legítimo (Codec-AVC1.msi), que instala o backdoor do WhiskerSpy.
O backdoor concede aos agentes de ameaças vários recursos diferentes, incluindo download de arquivos para o endpoint comprometido, upload de arquivos, exclusão, listagem, captura de tela, carregamento de executáveis e chamada de exportação e injeção de shellcode em processos.
O backdoor então se comunica com o servidor de comando e controle (C2) do malware, usando uma chave de criptografia AES de 16 bytes.
Mas nem todos os visitantes estão em risco. Na verdade, as chances são de que apenas uma pequena parte dos visitantes esteja sendo visada, já que a Trend Micro descobriu que o backdoor só é ativado quando visitantes de Shenyang, na China, ou Nagoya, no Japão, abrem o site.
Verdade seja dita, pessoas do Brasil também seriam solicitadas a baixar o backdoor, mas os pesquisadores acreditam que o Brasil foi usado apenas para testar se o ataque funciona ou não.
Afinal, os pesquisadores descobriram que os endereços IP no Brasil pertenciam a um serviço VPN comercial.
Uma vez instalado, o malware faz de tudo para persistir no dispositivo. Aparentemente, o Earth Kitsune usa o host de mensagens nativo no navegador Chrome do Google para instalar uma extensão maliciosa chamada Google Chrome Helper. Essa extensão executaria a carga toda vez que o navegador fosse iniciado.
Fonte: TechRadar
Descubra mais sobre DCiber
Assine para receber os posts mais recentes por e-mail.
