Chinotto Spyware
È stato osservato che una nuova minaccia malware completa, tracciata come Chinotto Spyware, è stata utilizzata in attacchi contro disertori nordcoreani, giornalisti che si occupano di notizie relative alla Corea del Nord e altre entità sudcoreane. Il malware agisce come una minaccia in fase avanzata che viene consegnata ai sistemi già violati delle vittime mirate. La funzionalità principale di Chinotto prevede l'instaurazione del controllo sul dispositivo compromesso, la raccolta di varie informazioni sensibili da esso e l'esfiltrazione dei dati su un server Command-and-Control (C2, C&C).
La campagna di attacco è attribuita al gruppo APT37 di Advanced Persistent Threat (APT) sponsorizzato dallo stato. La comunità infosec ha anche rintracciato questo particolare gruppo di criminalità informatica legato alla Corea del Nord come ScarCruft, InkySquid, Reaper Group e Ricochet Chollima. Questa recente operazione di attacco è altamente mirata. L'autore delle minacce ha utilizzato gli account Facebook raccolti per contattare le persone prescelte e quindi inviare loro un'e-mail di spear-phishing.
Le e-mail corrotte contenevano un documento di richiamo presumibilmente correlato alla sicurezza nazionale della Corea del Sud e alla situazione con il loro vicino settentrionale. Una volta che l'utente tenta di aprire il documento armato, viene attivata una macro nascosta e inizia la catena di attacco. I ricercatori di Infosec hanno scoperto e analizzato l'operazione APT37. Secondo i loro risultati, ha utilizzato più minacce malware che sono state distribuite in diverse fasi dell'attacco.
Va notato che esiste una variante della minaccia Chinotto progettata per infettare i dispositivi Androidnello specifico. L'obiettivo degli aggressori rimane lo stesso: ottenere informazioni sensibili e stabilire routine di spionaggio sul dispositivo mobile. La versione di Android è stata diffusa tramite attacchi smishing e ha spinto gli utenti presi di mira a concederle un'ampia gamma di autorizzazioni per i dispositivi. In caso di successo, la minaccia sarà in grado di accedere all'elenco dei contatti dell'utente, ai messaggi, ai registri delle chiamate, effettuare registrazioni audio e altro ancora. Lo spyware raccoglierebbe anche dati da diverse applicazioni mirate come Huawei Driver, KakaoTalk e Tencent WeChat (Weixin).
