WhiskerSpy Backdoor

Os pesquisadores de segurança cibernética descobriram um novo backdoor conhecido como WhiskerSpy, que foi implantado por um grupo de agentes de ameaças relativamente novo, mas avançado, chamado Earth Kitsune. Este grupo tornou-se conhecido por ter como alvo indivíduos que demonstraram interesse na Coreia do Norte.

Para executar seu ataque, o grupo Earth Kitsune utilizou um método conhecido como ataque watering hole, que é uma tática comprovada e eficaz para obter acesso ao sistema de um alvo. Nesse ataque, os agentes de ameaças identificam um site que é frequentemente visitado por seu público-alvo e o infectam com malware que lhes permite obter acesso aos dispositivos dos visitantes quando eles visitam o site. Nesse caso específico, o site comprometido é um site pró-Coreia do Norte, frequentemente visitado por indivíduos interessados no país.

Os pesquisadores de segurança monitoram as atividades do Earth Kitsune desde 2019 e descobriram esta última campanha no final do ano anterior. Essa descoberta é significativa, pois destaca o fato de que mesmo agentes de ameaças relativamente novos estão se tornando cada vez mais avançados e representam uma ameaça significativa para indivíduos e organizações.

A Infecção pelo WhiskerSky Usa uma Tática de Ataque Chamada Watering Hole

O backdoor WhiskerSpy é entregue aos visitantes que tentam assistir a vídeos em um site comprometido. O invasor injetou um script corrompido no site, que solicita aos visitantes a instalação de um codec de vídeo supostamente necessário para executar o conteúdo de vídeo exibido. Para evitar a detecção, o invasor modificou um instalador de codec legítimo para que ele carregasse um backdoor não visto anteriormente no sistema da vítima.

De acordo com os pesquisadores, os invasores visavam apenas os visitantes do site que tinham endereço de IP de Shenyang, China, Nagoya, Japão e Brasil. Suspeita-se que o Brasil tenha sido usado para testar o ataque watering hole usando uma conexão VPN, e os alvos reais eram visitantes das duas cidades da China e do Japão. As vítimas relevantes recebiam uma mensagem de erro falsa que os solicitava a instalar um codec para assistir ao vídeo. No entanto, o codec era, na realidade, um executável MSI que instalava um shellcode no computador da vítima, acionando uma série de comandos do PowerShell que, por fim, implantavam o backdoor do WhiskerSpy.

Nesta campanha, o Earth Kitsune usou várias técnicas de persistência para permanecer indetectável. Um desses métodos é o abuso do host de mensagens nativo no Google Chrome, que instalou uma extensão comprometida do Google Chrome chamada Google Chrome Helper. A extensão permitia a execução da carga toda vez que o navegador era iniciado. Outra técnica utilizada aproveita as vulnerabilidades de carregamento lateral do OneDrive, que permitiam a exclusão de um arquivo inseguro (falso 'vcruntime140.dll') no diretório do OneDrive.

O WhiskerSpy tem uma Extensa Lista de Funcionalidades Ameaçadoras

O WhiskerSpy é a carga útil final implantada como parte da campanha de ataque do Earth Kitsune. O backdoor fornece aos operadores remotos vários recursos, como um shell interativo, a capacidade de baixar, carregar e excluir arquivos, listar arquivos, tirar screenshots, carregar executáveis e injetar shellcode em um processo.

Para manter a comunicação com o servidor de comando e controle (C2, C&C), o WhiskerSpy utiliza uma chave AES de 16 bytes para criptografia. O backdoor se conecta periodicamente ao servidor C2 para receber atualizações sobre seu status, e o servidor pode responder com instruções para o malware, como executar comandos shell, injetar código em outro processo, exfiltrar arquivos específicos ou fazer capturas de tela.

Os pesquisadores descobriram uma versão anterior do WhiskerSpy que usava o protocolo FTP em vez de HTTP para comunicação C2. Essa variante mais antiga também verificava a presença de um depurador durante a execução e informava o C2 do código de status apropriado. Essas descobertas destacam a evolução constante do malware à medida que os invasores adaptam e refinam suas ferramentas e técnicas para evitar a detecção e aumentar sua eficácia. Ele enfatiza a necessidade de medidas de segurança robustas e atualizadas para proteção contra tais ameaças.