Nuevo malware WhiskerSpy entregado a través de un instalador de códec troyano

Iniciado por AXCESS, Febrero 18, 2023, 11:45:25 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Febrero 18, 2023, 11:45:25 PM
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los investigadores de seguridad han descubierto una nueva puerta trasera (backdoor) llamada WhiskerSpy utilizada en una campaña de un actor de amenazas avanzado relativamente nuevo rastreado como Earth Kitsune, conocido por apuntar a personas que muestran interés en Corea del Norte.

El actor usó un método probado y escogió víctimas entre los visitantes de un sitio web pro Corea del Norte, una táctica conocida como ataque de abrevadero.

La nueva operación fue descubierta a finales del año pasado por investigadores de la empresa de ciberseguridad Trend Micro, que han estado rastreando la actividad de Earth Kitsune desde 2019.

Ataque de abrevadero

Según Trend Micro, WhiskerSpy se entregó cuando los visitantes intentaron ver videos en el sitio web. El atacante comprometió el sitio web e inyectó un script malicioso que le pedía a la víctima que instalara un códec de video para que se ejecutaran los medios.

Para evitar sospechas, el actor de amenazas modificó un instalador de códec legítimo para que finalmente cargara "una puerta trasera nunca antes vista" en el sistema de la víctima.

Cadena de infección de puerta trasera de Whiskers
fuente: Trend Micro
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los investigadores dicen que el actor de amenazas apuntó solo a los visitantes del sitio web con direcciones IP de Shenyang, China; Nagoya, Japón; y Brasil.

Es probable que en Brasil se haya utilizado solo para probar el ataque mediante una conexión VPN, y los objetivos reales fueran los visitantes de las dos ciudades de China y Japón. Las víctimas relevantes recibirían el mensaje de error falso que les solicita que instalen un códec para ver el video.

Mensaje de error falso visto por objetivos válidos (Trend Micro)
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

En realidad, el códec es un ejecutable MSI que se instala en el shellcode de la computadora de la víctima que activa una serie de comandos de PowerShell que conducen a la implementación de la puerta trasera WhiskerSpy.

Los investigadores señalan que una técnica de persistencia que Earth Kitsune usó en esta campaña abusa del host de mensajería nativo en Google Chrome e instala una extensión maliciosa de Google Chrome llamada Google Chrome Helper.

La función de la extensión es permitir la ejecución de la carga útil cada vez que se inicia el navegador.

Extensión maliciosa de Chrome (Trend Micro)
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El otro método para lograr la persistencia es aprovechar las vulnerabilidades de carga lateral de OneDrive que permiten colocar un archivo malicioso (falso "vcruntime140.dll") en el directorio de OneDrive.

Detalles de WhiskerSpy

WhiskerSpy es la principal carga útil utilizada en la última campaña 'Earth Kitsune', que brinda a los operadores remotos las siguientes capacidades:

     shell interactivo
     descargar archivo
     subir archivo
     borrar archivo
     lista de archivos
     tomar captura de pantalla
     cargar ejecutable y llamar a su exportación
     inyectar shellcode en un proceso

La puerta trasera se comunica con el servidor de comando y control (C2) mediante una clave AES de 16 bytes para el cifrado.

WhiskerSpy se conecta periódicamente al C2 para obtener actualizaciones sobre su estado y el servidor puede responder con instrucciones para el malware, como ejecutar comandos de shell, inyectar código en otro proceso, filtrar archivos específicos, tomar capturas de pantalla.

Comandos compatibles con WhiskerSpy (Trend Micro)
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Trend Micro ha descubierto una versión anterior de WhiskerSpy que utiliza el protocolo FTP en lugar de HTTP para la comunicación C2. Esta variante anterior también verifica la presencia de un depurador al ejecutarse e informa al C2 con el código de estado apropiado.

Para tener en cuenta, la confianza de los investigadores en atribuir este ataque a Earth Kitsune es media, pero el modus operandi y los objetivos son similares a las actividades previamente asociadas al grupo.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario