Kuzey Kore ile ilgili her şeye ilgi duyan insanlar çok özel bir kötü amaçlı yazılımla hedefleniyor.
Siber güvenlik araştırmacıları Trend Mikro (yeni sekmede açılır) (aracılığıyla BleepingBilgisayar) kısa bir süre önce, yeni ortaya çıkan bir tehdit aktörü olan Earth Kitsune’un Kuzey Kore yanlısı bir web sitesini ihlal ettiğini ve ardından bu siteyi WhiskerSpy adlı bir arka kapı sağlamak için kullandığını gözlemledi.
Kötü amaçlı yazılım, tehdit aktörlerinin dosyaları çalmasına, ekran görüntüleri almasına ve güvenliği ihlal edilmiş uç noktaya ek kötü amaçlı yazılım dağıtmasına olanak tanır.
WhisperSpy kötü amaçlı yazılımı
Araştırmacılara göre, belirli kişiler web sitesini ziyaret edip video içeriği çalıştırmak istediklerinde, önce bir video codec bileşeni yüklemeleri istenecek. Bu numaraya kananlar, WhiskerSpy arka kapısını yükleyen meşru bir codec bileşeninin (Codec-AVC1.msi) değiştirilmiş bir sürümünü indirir.
Arka kapı, tehdit aktörlerine, güvenliği ihlal edilmiş uç noktaya dosya indirme, dosya yükleme, silme, listeleme, ekran görüntüsü alma, yürütülebilir dosyaları yükleme ve dışa aktarma çağrısı yapma ve süreçlere kabuk kodu ekleme dahil olmak üzere bir dizi farklı yetenek sağlar.
Ardından arka kapı, 16 baytlık bir AES şifreleme anahtarı kullanarak kötü amaçlı yazılımın komut ve kontrol (C2) sunucusuyla iletişim kurar.
Ancak tüm ziyaretçiler risk altında değildir. Aslında, Trend Micro arka kapının yalnızca Shenyang, Çin veya Nagoya, Japonya’dan gelen ziyaretçiler siteyi açtığında etkinleştiğini keşfettiğinden, ziyaretçilerin yalnızca küçük bir bölümünün hedef alınıyor olma olasılığı yüksektir.
Gerçeği söylemek gerekirse, Brezilyalı insanlardan da arka kapıyı indirmeleri istenir, ancak araştırmacılar Brezilya’nın yalnızca saldırının işe yarayıp yaramadığını test etmek için kullanıldığına inanıyor.
Ne de olsa araştırmacılar, Brezilya’daki IP adreslerinin ticari bir VPN hizmetine ait olduğunu buldu.
Kötü amaçlı yazılım bir kez yüklendikten sonra cihazda kalıcı olmak için elinden gelen her şeyi yapar. Görünüşe göre Earth Kitsune, Google Chrome Helper adlı kötü amaçlı bir uzantı yüklemek için Google’ın Chrome tarayıcısındaki yerel mesajlaşma sunucusunu kullanıyor. Bu uzantı, tarayıcı her başladığında yükü çalıştırır.