WhiskerSpy Backdoor

Els investigadors de ciberseguretat han descobert una nova porta del darrere coneguda com WhiskerSpy, que ha estat desplegada per un grup d'actors d'amenaça relativament nou però avançat anomenat Earth Kitsune. Aquest grup s'ha fet conegut per dirigir-se a persones que han demostrat interès per Corea del Nord.

Per executar el seu atac, el grup Earth Kitsune ha utilitzat un mètode conegut com a atac d'aigua, que és una tàctica provada i eficaç per accedir al sistema d'un objectiu. En aquest atac, els actors de l'amenaça identifiquen un lloc web que el seu públic objectiu visita amb freqüència i l'infecten amb programari maliciós que els permet accedir als dispositius dels visitants quan visiten el lloc. En aquest cas concret, el lloc web compromès és un lloc web pro-Corea del Nord, que és visitat amb freqüència per persones interessades en el país.

Els investigadors de seguretat han estat supervisant les activitats de Earth Kitsune des del 2019 i van descobrir aquesta darrera campanya a finals de l'any anterior. Aquest descobriment és significatiu, ja que posa de manifest el fet que fins i tot els actors d'amenaça relativament nous estan cada cop més avançats i representen una amenaça important tant per a les persones com per a les organitzacions.

La infecció WhiskerSpy utilitza una tàctica d'atac al forat

La porta del darrere de WhiskerSpy es lliura als visitants que intenten veure vídeos en un lloc web compromès. L'atacant ha injectat un script corrupte al lloc web, que demana als visitants que instal·lin un còdec de vídeo que suposadament és necessari per executar el contingut de vídeo que es mostra. Per evitar la detecció, l'atacant va modificar un instal·lador de còdecs legítim de manera que finalment carregués una porta del darrere que abans no s'havia vist al sistema de la víctima.

Segons els investigadors, els actors de l'amenaça només es van dirigir als visitants del lloc web que tenien adreces IP de Shenyang, Xina, Nagoya, Japó i Brasil. Se sospita que el Brasil es va utilitzar per provar l'atac del forat mitjançant una connexió VPN, i els objectius reals eren visitants de les dues ciutats de la Xina i el Japó. Les víctimes rellevants rebien un missatge d'error fals que els demanava a instal·lar un còdec per veure el vídeo. Tanmateix, el còdec era, en realitat, un executable MSI que instal·lava un codi d'intèrpret d'ordres a l'ordinador de la víctima, activant una sèrie d'ordres de PowerShell que finalment van desplegar la porta del darrere de WhiskerSpy.

En aquesta campanya, Earth Kitsune va utilitzar diverses tècniques de persistència per no ser detectat. Un d'aquests mètodes és l'abús de l'amfitrió de missatgeria natiu a Google Chrome, que havia instal·lat una extensió de Google Chrome compromesa anomenada Google Chrome Helper. L'extensió permetia l'execució de la càrrega útil cada vegada que s'iniciava el navegador. Una altra tècnica utilitzada aprofita les vulnerabilitats de càrrega lateral de OneDrive, que van permetre eliminar un fitxer no segur (fals "vcruntime140.dll") al directori de OneDrive.

WhiskerSpy té una llista extensa de funcionalitats amenaçadores

WhiskerSpy és la càrrega útil final desplegada com a part de la campanya d'atac Earth Kitsune. La porta del darrere proporciona als operadors remots diverses capacitats, com ara un intèrpret d'ordres interactiu, la possibilitat de descarregar, carregar i suprimir fitxers, llistar fitxers, fer captures de pantalla, carregar executables i injectar codi d'intèrpret d'ordres en un procés.

Per mantenir la comunicació amb el servidor d'ordres i control (C2, C&C), WhiskerSpy utilitza una clau AES de 16 bytes per a l'encriptació. La porta del darrere es connecta periòdicament al servidor C2 per rebre actualitzacions sobre el seu estat, i el servidor pot respondre amb instruccions per al programari maliciós, com ara executar ordres de shell, injectar codi en un altre procés, extreure fitxers específics o fer captures de pantalla.

Els investigadors han descobert una versió anterior de WhiskerSpy que utilitzava el protocol FTP en lloc d'HTTP per a la comunicació C2. Aquesta variant més antiga també va comprovar la presència d'un depurador durant l'execució i va informar al C2 del codi d'estat adequat. Aquestes troballes posen de manifest l'evolució constant del programari maliciós a mesura que els atacants adapten i perfeccionen les seves eines i tècniques per evitar la detecció i augmentar la seva eficàcia. Subratlla la necessitat de mesures de seguretat sòlides i actualitzades per protegir-se d'aquestes amenaces.