Badacze cyberbezpieczeństwa wciąż odkrywają nowe malware. Nie inaczej jest tym razem. Właśnie odkryto oprogramowanie, które jednocześnie szpieguje na systemach Windows i Android.
Oprogramowanie szpieguje na systemach: Windows i Android
Szkodliwe oprogramowanie o nazwie Chinotto zostało wykryte przez badaczy z firmy Kaspersky. Uważają oni, że jest wykorzystywane przez cyberprzestępcę znanego jako ScarCraft do śledzenia północnokoreańskich uciekinierów i dziennikarzy relacjonujących wiadomości związane z Koreą Północną.
Zobacz także: Oto najpopularniejszy film na Netflix – nie rozumiem jego fenomenu
Jednej z ofiar sprzęt został zainfekowany złośliwym oprogramowaniem PowerShell. Odkryto dowody na to, że malware ukradł jej dane i inwigilował tę ofiarę przez kilka miesięcy. Próbował również wysyłać e-maile typu spear-phishing do współpracowników ofiar pracujących w firmach związanych z Koreą Północną, używając skradzionych danych logowania.
Na podstawie ustaleń z zaatakowanej maszyny wykryto dodatkowe złośliwe oprogramowanie. Cyberprzestępcy wykorzystali trzy typy złośliwego oprogramowania o podobnych funkcjach: wersje zaimplementowane w PowerShell, pliki wykonywalne Windows i aplikacje na Androida. Chociaż są przeznaczone dla różnych platform, mają podobny schemat dowodzenia i kontroli oparty na komunikacji HTTP. Dlatego operatorzy szkodliwego oprogramowania mogą kontrolować całą rodzinę malware za pomocą jednego zestawu skryptów dowodzenia i kontroli.
Operator APT kontroluje złośliwe oprogramowanie za pomocą skryptu PHP na zaatakowanym serwerze sieciowym i kontroluje implanty na podstawie parametrów HTTP. Badaczom udało się również zdobyć kilka plików dziennika z zaatakowanych serwerów. Na podstawie tych plików zidentyfikowano dodatkowe ofiary w Korei Południowej i zainfekowane serwery internetowe, które były wykorzystywane przez ScarCruft od początku 2021 r. Ponadto wykryto starsze warianty złośliwego oprogramowania, dostarczane za pośrednictwem dokumentów HWP, pochodzące z połowy 2020 r.
Przykładowy proces ataku
Przed spear phishingiem potencjalnej ofiary i wysłaniem szkodliwego dokumentu, cyberprzestępca skontaktował się ze znajomym ofiary, korzystając ze skradzionego konta na Facebooku. Oszust wiedział już, że potencjalny cel prowadzi biznes związany z Koreą Północną i zapytał o jej obecny stan. Po rozmowie w mediach społecznościowych wysłał potencjalnej ofierze wiadomość e-mail typu spear phishing przy użyciu skradzionego konta e-mail. Wykorzystał swoje ataki przy użyciu skradzionych danych logowania, takich jak Facebook i osobiste konta e-mail, dzięki czemu wykazał się wysokim poziomem wyrafinowania.
Po rozmowie na Facebooku potencjalny cel otrzymał od oszusta e-mail typu spear-phishing. Zawiera chronione hasłem archiwum RAR z hasłem pokazanym w treści wiadomości e-mail. Plik RAR zawiera złośliwy dokument Word.
Dokument ten zawiera złośliwe makro i ładunek dla wieloetapowego procesu infekcji. Makro pierwszego etapu tworzy kolejne makro jako drugi etap. Jeśli nie zainstalowano żadnego oprogramowania antywirusowego, makro bezpośrednio przechodzi do odszyfrowania ładunku następnego etapu. Aby to osiągnąć, wykorzystuje odmianę metody substytucji. Skrypt porównuje podany zaszyfrowany ciąg z drugim ciągiem, aby uzyskać indeks pasujących znaków. Następnie otrzymuje odszyfrowany znak z indeksem uzyskanym z pierwszego ciągu. W końcu infekcja dociera do procesu notepad.exe.
Źródło: securelist, techradar