I ricercatori di ASEC hanno scoperto un nuovo malware, denominato FadeStealer, che può rubare dati sensibili dal computer e registrare le conversazioni delle persone nelle vicinanze utilizzando il microfono del dispositivo. Gli autori delle attività di spionaggio sono i cybercriminali del gruppo APT37 (StarCruft, Reaper o RedEyes) finanziato dalla Corea del Nord.
Info-stealer e spyware
La catena di infezione inizia con l’invio di una email di phishing. In allegato ci sono tre file: un documento Word, un documento Hangul e un file CHM (Compiled HTML Help File) denominato password.chm
. Nel messaggio è scritto che deve essere aperto il file password.chm
per ottenere la password dei due documenti.
La password viene effettivamente mostrata all’utente, ma in background viene scaricato ed eseguito uno script PowerShell con funzionalità di backdoor che aggiunge una chiave nel registro per la persistenza (avvio automatico). La backdoor comunica con il server C&C (command and control), dal quale riceve vari comandi.
Viene quindi scaricata una seconda backdoor (AblyGo) che permette di ottenere privilegi elevati, rubare dati e distribuire altri malware. Per l’esfiltrazione dei dati viene usato FadeStealer, iniettato nel processo legittimo ieinstal.exe
di Internet Explorer.
Oltre alle tradizionali attività da info-stealer (screenshot, keylogger e furto di documenti), FadeStealer può usare il microfono per registrare le conversazioni delle persone nelle vicinanze. Tutti i dati vengono quindi compressi in un archivio RAR (copiati in varie directory %Temp%
) e inviati al server C&C ogni 30 minuti.