WhiskerSpy Backdoor

I ricercatori della sicurezza informatica hanno scoperto una nuova backdoor nota come WhiskerSpy, che è stata implementata da un gruppo di attori di minacce relativamente nuovo ma avanzato chiamato Earth Kitsune. Questo gruppo è diventato famoso per aver preso di mira individui che hanno dimostrato interesse per la Corea del Nord.

Per eseguire il loro attacco, il gruppo Earth Kitsune ha utilizzato un metodo noto come attacco abbeveratoio, che è una tattica collaudata ed efficace per ottenere l'accesso al sistema di un bersaglio. In questo attacco, gli autori delle minacce identificano un sito Web visitato frequentemente dal loro pubblico mirato e lo infettano con malware che consente loro di accedere ai dispositivi dei visitatori quando visitano il sito. In questo caso specifico, il sito web che è stato compromesso è un sito pro-Corea del Nord, che viene spesso visitato da persone interessate al Paese.

I ricercatori della sicurezza monitorano le attività di Earth Kitsune dal 2019 e hanno scoperto quest'ultima campagna verso la fine dell'anno precedente. Questa scoperta è significativa, in quanto evidenzia il fatto che anche gli attori delle minacce relativamente nuovi stanno diventando sempre più avanzati e rappresentano una minaccia significativa sia per gli individui che per le organizzazioni.

L'infezione WhiskerSpy utilizza una tattica di attacco Watering Hole

La backdoor WhiskerSpy viene consegnata ai visitatori che tentano di guardare video su un sito Web compromesso. L'attaccante ha inserito uno script corrotto nel sito Web, che richiede ai visitatori di installare un codec video che si suppone sia necessario per eseguire il contenuto video visualizzato. Per evitare il rilevamento, l'aggressore ha modificato un programma di installazione di codec legittimo in modo che alla fine carichi una backdoor mai vista prima sul sistema della vittima.

Secondo i ricercatori, gli autori delle minacce hanno preso di mira solo i visitatori del sito Web che avevano indirizzi IP da Shenyang, Cina, Nagoya, Giappone e Brasile. Si sospetta che il Brasile sia stato utilizzato per testare l'attacco all'abbeveratoio utilizzando una connessione VPN e che i veri obiettivi fossero i visitatori delle due città in Cina e Giappone. Le vittime interessate ricevevano un falso messaggio di errore che le spingeva a installare un codec per guardare il video. Tuttavia, il codec era, in realtà, un eseguibile MSI che installava uno shellcode sul computer della vittima, attivando una serie di comandi PowerShell che alla fine distribuivano la backdoor WhiskerSpy.

In questa campagna, Earth Kitsune ha utilizzato diverse tecniche di persistenza per non essere scoperto. Uno di questi metodi è l'abuso dell'host di messaggistica nativo in Google Chrome, che aveva installato un'estensione di Google Chrome compromessa chiamata Google Chrome Helper. L'estensione consentiva l'esecuzione del payload ogni volta che il browser veniva avviato. Un'altra tecnica utilizzata sfrutta le vulnerabilità di caricamento laterale di OneDrive, che ha consentito l'eliminazione di un file non sicuro (falso 'vcruntime140.dll') nella directory di OneDrive.

WhiskerSpy ha un ampio elenco di funzionalità minacciose

WhiskerSpy è il payload finale schierato come parte della campagna di attacco Earth Kitsune. La backdoor fornisce agli operatori remoti varie funzionalità, come una shell interattiva, la possibilità di scaricare, caricare ed eliminare file, elencare file, acquisire schermate, caricare eseguibili e inserire shellcode in un processo.

Per mantenere la comunicazione con il server di comando e controllo (C2, C&C), WhiskerSpy utilizza una chiave AES a 16 byte per la crittografia. La backdoor si connette periodicamente al server C2 per ricevere aggiornamenti sul suo stato e il server può rispondere con istruzioni per il malware, come l'esecuzione di comandi shell, l'iniezione di codice in un altro processo, l'esfiltrazione di file specifici o l'acquisizione di schermate.

I ricercatori hanno scoperto una versione precedente di WhiskerSpy che utilizzava il protocollo FTP invece di HTTP per la comunicazione C2. Questa variante precedente verificava anche la presenza di un debugger durante l'esecuzione e informava il C2 del codice di stato appropriato. Questi risultati evidenziano la costante evoluzione del malware man mano che gli aggressori adattano e perfezionano i loro strumenti e le loro tecniche per eludere il rilevamento e aumentare la loro efficacia. Sottolinea la necessità di misure di sicurezza solide e aggiornate per proteggere da tali minacce.