Исследуете Северную Корею онлайн? Вы можете стать жертвой атаки вредоносного ПО
вычисления techradar.com Новости

Исследуете Северную Корею онлайн? Вы можете стать жертвой атаки вредоносного ПО

21 февраля 2023 г.

Люди, интересующиеся всем, что связано с Северной Кореей, становятся мишенью для очень специфического вредоносного ПО.< /p>

Исследователи кибербезопасности из Trend Micro (через BleepingComputer) недавно наблюдали, как Earth Kitsune, зарождающийся злоумышленник, взломал про-северокорейский веб-сайт, а затем использовал этот сайт для доставки бэкдора, получившего название WhiskerSpy.

Вредоносная программа позволяет злоумышленникам красть файлы , делать снимки экрана и развертывать дополнительное вредоносное ПО на скомпрометированной конечной точке.

Вредоносное ПО WhisperSpy

По словам исследователей, когда определенные люди посещают веб-сайт и хотят запустить видеоконтент, им будет предложено сначала установить видеокодек. Те, кто попадется на уловку, загрузят модифицированную версию законного кодека (Codec-AVC1.msi), который устанавливает бэкдор WhiskerSpy.

Бэкдор предоставляет злоумышленникам ряд различных возможностей, включая загрузку файлы на скомпрометированную конечную точку, загружая файлы, удаляя их, перечисляя их, делая снимки экрана, загружая исполняемые файлы и вызывая их экспорт, а также внедряя шелл-код в процессы.

Затем бэкдор связывается с системой управления и контроля вредоносного ПО. (C2) с использованием 16-байтового ключа шифрования AES.

Но не все посетители подвергаются риску. На самом деле есть вероятность, что только небольшая часть посетителей является мишенью, поскольку Trend Micro обнаружила, что бэкдор активируется только тогда, когда посетители из Шэньяна, Китай, или Нагои, Япония, открывают сайт.

Подробнее

> Хакеры из Северной Кореи нацелены на телефоны, устройства Windows с новое вредоносное ПО

> ФБР подтверждает, что северокорейская группа Lazarus стояла за крупным ограблением криптовалюты Harmony

> Мы также список лучших сервисов защиты конечных точек

По правде говоря, людям из Бразилии также предлагалось загрузить бэкдор, но исследователи полагают, что Бразилию использовали только для проверки того, работает ли атака или нет.

В конце концов, исследователи обнаружили, что IP-адреса в Бразилии принадлежали коммерческой службе VPN.

После установки вредоносная программа делает все возможное, чтобы остаться на устройстве. Судя по всему, Earth Kitsune использует собственный узел обмена сообщениями в браузере Google Chrome для установки вредоносного расширения под названием Google Chrome Helper. Это расширение будет запускать полезную нагрузку при каждом запуске браузера.

Оригинал

Recent Post

Categories

PREVIOUS ARTICLE
NEXT ARTICLE