• Добро пожаловать в Пиратскую Бухту! Чтобы получить полный доступ к форуму пройдите регистрацию!
  • Гость, стой!

    В бухте очень не любят флуд и сообщения без смысловой нагрузки!
    Чтобы не получить бан, изучи правила форума!

    Если хотите поблагодарить автора темы, или оценить реплику пользователя, для этого есть кнопки: "Like" и "Дать на чай".

Новости Группировка Earth Kitsune распространяет вредоносное ПО WhiskerSpy через «установщик видеокодеков»

Пригоршня

Штурман
Бродяга
Регистрация
26.10.16
Сообщения
2,233
Онлайн
38д 4ч 33м
Сделки
251
Нарушения
0 / 0
Montserrat Semi-Bold.png

Исследователи безопасности компании Trend Micro обнаружили новый бэкдор под названием WhiskerSpy, который использовался в недавней кампании относительно новой хакерской группировки под названием Earth Kitsune. Она известна тем, что нацелена на людей, проявляющих интерес к Северной Корее.

Злоумышленники использовали проверенный метод и выбирали жертв среди посетителей сайта, выступающего за Северную Корею. Это тактика также известна под названием «атака на водопой» («watering hole»).

По данным Trend Micro, WhiskerSpy доставлялся на компьютеры жертв, когда те пытались посмотреть видео на самом обыкновенном веб-сайте. Однако ранее данный веб-сайт был взломан злоумышленниками. Они внедрили в его код вредоносный скрипт, который просил жертву установить видеокодек для запуска мультимедиа.

Чтобы избежать подозрений, злоумышленник взял за основу настоящий установщик видеокодека, однако внедрил в него бэкдор WhiskerSpy, который активировался по завершению установки.

Исследователи сообщили, что злоумышленники провели свою атаку только на посетителей веб-сайта с IP-адресами из Китая, Японии и Бразилии. Вполне вероятно, что Бразилия использовалась только для тестирования атаки Watering Hole с использованием VPN-подключения, а реальными целями были посетители из двух городов Китая и Японии. Жертвам было отправлено фейковое сообщение об ошибке, в котором им предлагалось установить кодек для просмотра видео.

Исследователи отмечают, что одна из техник, использованной Earth Kitsune в данной кампании, благодаря которой вредонос закрепляется в системе, использует собственный хост обмена сообщениями в Google Chrome. WhiskerSpy устанавливает в браузер вредоносное расширение Google Chrome Helper. Роль расширения — выполнение полезной нагрузки при каждом запуске браузера.

WhiskerSpy периодически подключается к C2-серверу для получения обновлений о своем статусе. Сервер может отвечать инструкциями для вредоносного ПО, такими как выполнение вредоносных команд, внедрение кода в системные процессы, эксфильтрация данных, создание снимков экрана и т.д.

Следует отметить, что уверенность исследователей в том, что атаку выполнила именно Earth Kitsune, является средней. Однако методы работы и цели были аналогичны таковым в более ранних атаках данной группировки.
 
Сверху