I ricercatori di Trend Micro hanno individuato una nuova backdoor, denominata WhiskerSpy, che viene installata quando gli utenti scaricano un codec video. I cybercriminali sfruttano inoltre alcuni metodi per mantenere la persistenza. Gli attacchi sono stati attribuiti al gruppo Earth Kitsune. La tecnica usata è noto come watering hole. Fortunatamente il malware viene rilevato e bloccato dalla maggioranza delle soluzioni di sicurezza.
WhiskerSpy: backdoor nel codec video
Gli esperti di Trend Micro hanno scoperto il malware su un sito pro Corea del Nord. I cybercriminali hanno iniettato nelle pagine uno script che avvisa l’utente della necessità di installare un codec AVC1 per poter avviare la riproduzione dei video. Lo script viene eseguito solo se il visitatore proviene da alcuni paesi (Cina, Giappone e Brasile).
L’attacco watering hole prevede il download di un installer legittimo, in cui è stato nascosto il codice della backdoor. Se l’utente avvia l’installer, alcuni comandi PowerShell scaricano WhiskerSpy e viene installata un’estensione per Chrome che esegue il malware all’avvio del browser. Per la persistenza viene anche sfruttata una vulnerabilità “DLL side-loading” di OneDrive.
La backdoor può eseguire shell interattive, scaricare, caricare e cancellare file, scattare screenshot, eseguire codice e iniettare shellcode nei processi. I dati sono inviati al server C&C (command and control) in forma cifrata. Dal server riceve periodicamente istruzioni e aggiornamenti.
Gli utenti non devono assolutamente scaricare software da siti poco attendibili. Meglio utilizzare una soluzione di sicurezza che blocca WhiskerSpy e altre simili minacce.