Las personas interesadas en todo lo relacionado con Corea del Norte están siendo atacadas con un malware muy específico.
Investigadores de ciberseguridad de Trend Micro (se abre en una pestaña nueva) (a través de BleepingComputer) han observado recientemente a Earth Kitsune, un incipiente actor de amenazas, violando un sitio web pro-Corea del Norte y luego usando ese sitio para entregar una puerta trasera denominada WhiskerSpy.
El malware permite a los actores de amenazas robar archivos, tomar capturas de pantalla e implementar malware adicional en el punto final comprometido.
Programa malicioso WhisperSpy
Según los investigadores, cuando ciertas personas visitan el sitio web y buscan ejecutar contenido de video, primero se les pedirá que instalen un códec de video. Aquellos que caigan en la trampa descargarían una versión modificada de un códec legítimo (Codec-AVC1.msi), que instala la puerta trasera WhiskerSpy.
La puerta trasera otorga a los actores de amenazas una serie de capacidades diferentes, que incluyen descargar archivos al punto final comprometido, cargar archivos, eliminarlos, enumerarlos, tomar capturas de pantalla, cargar ejecutables y llamar a su exportación e inyectar shellcode en los procesos.
Luego, la puerta trasera se comunica con el servidor de comando y control (C2) del malware, utilizando una clave de cifrado AES de 16 bytes.
Pero no todos los visitantes están en riesgo. De hecho, lo más probable es que solo una pequeña parte de los visitantes estén dirigidos, ya que Trend Micro descubrió que la puerta trasera solo se activa cuando los visitantes de Shenyang, China o Nagoya, Japón, abren el sitio.
A decir verdad, a las personas de Brasil también se les pedirá que descarguen la puerta trasera, pero los investigadores creen que Brasil solo se usó para probar si el ataque funciona o no.
Después de todo, los investigadores encontraron que las direcciones IP en Brasil pertenecían a un servicio VPN comercial.
Una vez instalado, el malware hace todo lo posible para persistir en el dispositivo. Aparentemente, Earth Kitsune usa el host de mensajería nativo en el navegador Chrome de Google para instalar una extensión maliciosa llamada Google Chrome Helper. Esta extensión ejecutaría la carga útil cada vez que se inicia el navegador.