WhiskerSpy Backdoor

Cercetătorii în domeniul securității cibernetice au descoperit o nouă ușă din spate cunoscută sub numele de WhiskerSpy, care a fost implementată de un grup de amenințări relativ nou, dar avansat, numit Earth Kitsune. Acest grup a devenit binecunoscut pentru că vizează persoane care au demonstrat interes pentru Coreea de Nord.

Pentru a-și executa atacul, grupul Earth Kitsune a folosit o metodă cunoscută sub denumirea de atac la gaura de apă, care este o tactică dovedită și eficientă pentru a obține acces la sistemul țintei. În acest atac, actorii amenințărilor identifică un site web care este frecvent vizitat de publicul țintă și îl infectează cu malware care le permite să obțină acces la dispozitivele vizitatorilor atunci când vizitează site-ul. În acest caz specific, site-ul web care a fost compromis este un site pro-Coreea de Nord, care este vizitat frecvent de persoane interesate de țară.

Cercetătorii de securitate monitorizează activitățile Earth Kitsune din 2019 și au descoperit această ultimă campanie spre sfârșitul anului precedent. Această descoperire este semnificativă, deoarece evidențiază faptul că chiar și actorii amenințărilor relativ noi devin din ce în ce mai avansați și reprezintă o amenințare semnificativă atât pentru indivizi, cât și pentru organizații.

Infecția WhiskerSpy folosește o tactică de atac în gaura de apă

Ușa din spate WhiskerSpy este oferită vizitatorilor care încearcă să vizioneze videoclipuri pe un site web compromis. Atacatorul a injectat un script corupt în site-ul web, care îi solicită vizitatorilor să instaleze un codec video care se presupune că este necesar pentru a rula conținutul video afișat. Pentru a evita detectarea, atacatorul a modificat un program de instalare de codec legitim, astfel încât în cele din urmă să încarce o ușă din spate nevăzută anterior în sistemul victimei.

Potrivit cercetătorilor, actorii amenințărilor au vizat doar vizitatorii site-ului web care aveau adrese IP din Shenyang, China, Nagoya, Japonia și Brazilia. Se bănuiește că Brazilia a fost folosită pentru testarea atacului cu o conexiune VPN, iar țintele reale au fost vizitatorii din cele două orașe din China și Japonia. Victimele relevante ar primi un mesaj de eroare fals care le-a cerut să instaleze un codec pentru a viziona videoclipul. Cu toate acestea, codecul a fost, în realitate, un executabil MSI care a instalat un cod shell pe computerul victimei, declanșând o serie de comenzi PowerShell care au implementat în cele din urmă ușa din spate WhiskerSpy.

În această campanie, Earth Kitsune a folosit mai multe tehnici de persistență pentru a rămâne nedetectat. O astfel de metodă este abuzul gazdei native de mesagerie în Google Chrome, care instalase o extensie Google Chrome compromisă numită Google Chrome Helper. Extensia a permis execuția încărcării utile de fiecare dată când browserul a pornit. O altă tehnică utilizată folosește vulnerabilitățile de încărcare laterală OneDrive, care au permis eliminarea unui fișier nesigur (fals „vcruntime140.dll”) în directorul OneDrive.

WhiskerSpy are o listă extinsă de funcționalități amenințătoare

WhiskerSpy este sarcina utilă finală implementată ca parte a campaniei de atac Earth Kitsune. Backdoor oferă operatorilor de la distanță diverse capacități, cum ar fi un shell interactiv, capacitatea de a descărca, încărca și șterge fișiere, lista fișiere, face capturi de ecran, încărca executabile și injecta shellcode într-un proces.

Pentru a menține comunicarea cu serverul de comandă și control (C2, C&C), WhiskerSpy utilizează o cheie AES de 16 octeți pentru criptare. Ușa din spate se conectează periodic la serverul C2 pentru a primi actualizări despre starea acestuia, iar serverul poate răspunde cu instrucțiuni pentru malware, cum ar fi executarea comenzilor shell, injectarea de cod într-un alt proces, exfiltrarea anumitor fișiere sau realizarea de capturi de ecran.

Cercetătorii au descoperit o versiune anterioară a lui WhiskerSpy care folosea protocolul FTP în loc de HTTP pentru comunicarea C2. Această variantă mai veche a verificat și prezența unui depanator la execuție și a informat C2 despre codul de stare corespunzător. Aceste descoperiri evidențiază evoluția constantă a malware-ului, pe măsură ce atacatorii își adaptează și își perfecționează instrumentele și tehnicile pentru a evita detectarea și pentru a le crește eficacitatea. Ea subliniază necesitatea unor măsuri de securitate robuste și actualizate pentru a proteja împotriva unor astfel de amenințări.