Las personas que están interesadas en cualquier cosa relacionada con Corea del Norte son el propósito de un malware muy concreto.
Los estudiosos de seguridad cibernética de Trend Micro (se abre en una nueva pestañita) (a través de BleepingComputer) observaron últimamente a Earth Kitsune, un actor de amenazas naciente, violando un sitio pro-Corea del Norte y después utilizándolo para dar una puerta trasera llamada WhiskerSpy.
El malware deja a los actores de amenazas hurtar ficheros, tomar atrapas de pantalla e incorporar malware auxiliar en el dispositivo comprometido.
Malware WhisperSpy
Según los estudiosos, cuando ciertas personas visitan el sitio y procuran reproducir contenido de vídeo, primero se les solicitará que instalen un códec de vídeo. Aquellos que caigan en la trampa descargarían una versión cambiada de un códec lícito (Códecs-AVC1.msi), que instala la puerta trasera WhiskerSpy.
La puerta trasera ofrece a los actores de amenazas una serie de capacidades diferentes, que incluyen cargar ficheros en el punto y final comprometido, cargar ficheros, quitarlos, contarlos, tomar atrapas de pantalla, cargar ejecutables y llamar a su exportación e inyectar shellcode en los procesos.
Luego, la puerta trasera se comunica con el servidor de comando y control (C2) del malware a través de una clave de cifrado AES de dieciseis bits.
Pero no todos y cada uno de los visitantes están en peligro. En verdad, probablemente solo se dirija a una pequeña parte de los visitantes, ya que Trend Micro descubrió que la puerta trasera solo se activa cuando los visitantes de Shenyang, China o Nagoya, el país nipón abren el lugar.
A decir verdad, asimismo se invitaría a los brasileiros a descargar la puerta trasera, mas los estudiosos piensan que Brasil solo se usó para probar si el ataque funcionó o no.
Después de todo, los estudiosos descubrieron que las direcciones IP en Brasil pertenecían a un servicio VPN comercial.
Una vez instalado, el malware hace todo lo que resulta posible por persistir en el dispositivo. Supuestamente, Earth Kitsune usa el host de correo nativo del navegador Google Chrome de Google para instalar una extensión maliciosa llamada Chrome Helper. Esta extensión ejecutaría la carga útil toda vez que se empiece el navegador.