Les personnes intéressées par tout ce qui concerne la Corée du Nord sont ciblées par des logiciels malveillants très spécifiques.
Les spécialistes de la cybersécurité de Trend Micro (ouvre dans un nouvel onglet) (via BleepingComputer) ont récemment observé Earth Kitsune, un acteur menaçant naissant, violant un site pro-Corée du Nord, puis l'utilisant comme une porte dérobée appelée WhiskerSpy.
Le logiciel malveillant permet aux pirates de voler des fichiers, de prendre des captures d'écran et d'intégrer des logiciels malveillants auxiliaires sur l'appareil compromis.
Logiciel malveillant WhisperSpy
Selon les spécialistes, lorsque certaines personnes visitent le site et tentent de lire du contenu vidéo, elles seront d'abord invitées à installer un codec vidéo. Ceux qui tomberaient dans le piège téléchargeraient une version modifiée d'un codec légitime (Codecs-AVC1.msi), qui installe la porte dérobée WhiskerSpy.
La porte dérobée offre aux acteurs de la menace un certain nombre de capacités différentes, notamment le téléchargement de fichiers sur le point de terminaison compromis, le téléchargement de fichiers, leur suppression, leur comptage, la prise de captures d'écran, le chargement d'exécutables et l'appel de leur exportation, ainsi que l'injection de shellcode dans les processus.
La porte dérobée communique ensuite avec le serveur de commande et de contrôle (C2) du logiciel malveillant via une clé de cryptage AES à seize bits.
Mais tous les visiteurs ne sont pas en danger. En vérité, il ne cible probablement qu'une petite partie des visiteurs, car Trend Micro a constaté que la porte dérobée n'est activée que lorsque des visiteurs de Shenyang, en Chine, ou de Nagoya, au Japon, ouvrent le site.
En fait, les Brésiliens seraient également invités à télécharger la porte dérobée, mais les chercheurs pensent que le Brésil n'a été utilisé que pour tester si l'attaque a fonctionné ou non.
Après tout, les chercheurs ont découvert que les adresses IP au Brésil appartenaient à un service VPN commercial.
Une fois installé, le malware fait tout son possible pour persister sur l'appareil. Earth Kitsune utiliserait l'hôte de messagerie natif du navigateur Google Chrome de Google pour installer une extension malveillante appelée Chrome Helper. Cette extension exécuterait la charge utile à chaque démarrage du navigateur.