Chinotto Spyware

Uma nova ameaça de malware com todos os recursos, rastreada como Chinotto Spyware foi observada em ataques contra desertores norte-coreanos, jornalistas que cobrem notícias relacionadas à Coreia do Norte e outras entidades sul-coreanas. O malware atua como uma ameaça em estágio final que é entregue aos sistemas já violados das vítimas visadas. A principal funcionalidade do Chinotto envolve estabelecer controle sobre o dispositivo comprometido, coletar várias informações confidenciais dele e exfiltrar os dados para um servidor de Comando e Controle (C2, C&C).

A campanha de ataque é atribuída ao grupo de Ameaça Persistente Avançada APT37, patrocinado pelo estado. A comunidade infosec também rastreou este grupo de crimes cibernéticos relacionado à Coreia do Norte como ScarCruft, InkySquid, Reaper Group e Ricochet Chollima. Essa operação de ataque recente é altamente direcionada. O ator da ameaça usou contas coletadas do Facebook para contatar os indivíduos escolhidos e enviar a eles um e-mail de spear-phishing.

Os e-mails corrompidos continham um documento de isca supostamente relacionado à segurança nacional da Coreia do Sul e à situação com seu vizinho do norte. Assim que o usuário tenta abrir o documento armado, uma macro oculta é acionada e a cadeia de ataque começa. Os pesquisadores de Infosec descobriram e analisaram a operação do APT37. De acordo com suas descobertas, ele usou várias ameaças de malware que foram implantadas em diferentes estágios do ataque.

Deve-se observar que existe uma variante da ameaça Chinotto projetada para infectar dispositivos Android especificamente. O objetivo dos invasores permanece o mesmo - obter informações confidenciais e estabelecer rotinas de espionagem no dispositivo móvel. A versão do Android se espalhou por meio de ataques de smishing e levou os usuários-alvo a conceder a ela uma ampla gama de permissões do dispositivo. Se for bem-sucedida, a ameaça será capaz de acessar a lista de contatos do usuário, mensagens, registros de chamadas, fazer gravações de áudio e muito mais. O spyware também coleta dados de vários aplicativos visados, tais como o Huawei Driver, KakaoTalk e o Tencent WeChat (Weixin).

Tendendo

Mais visto

Carregando...