Посмотрел видео и заразился: что известно о бэкдоре WhiskerSpy - IT Speaker, новости информационных технологий

Посмотрел видео и заразился: что известно о бэкдоре WhiskerSpy

Фотография unsplash

Аналитики компании Trend Micro обнаружили новый бэкдор под названием WhiskerSpy — он используется в атаках группировки Earth Kitsune, жертвами которой рискуют стать те, кто интересуется Северной Кореей.

Новая серия атак с использованием бэкдора WhiskerSpy обнаружена в конце прошлого года. По данным аналитиков, злоумышленники внедрили вредоносный скрипт на сайт о Северной Корее, который просит читателей установить видеокодек для запуска мультимедиа. Хакеры модифицировали легитимную программу установки кодека таким образом, что в конечном итоге она загружает бэкдор в систему жертвы.

Пока таким атакам подверглись посетители сайта с IP-адресами из Китая, Японии и Бразилии. Эксперты предполагают, что бразильские IP-адреса использовались только для тестирования атаки с помощью VPN-соединения, а реальными целями были посетители из нескольких китайских и японских городов. Пользователи из конкретных населенных пунктов видят сообщение об ошибке, которое предлагает установить видеокодек.

В действительности кодек представляет собой исполняемый MSI-файл, который устанавливает на компьютер жертвы шелл-код, запускающий серию команд PowerShell, которые и приводят к развертыванию бэкдора.

Исследователи отмечают, что группировка Earth Kitsune использует встроенный узел обмена сообщениями в Google Chrome и устанавливает вредоносное расширение Google Chrome Helper. Роль расширения заключается в том, чтобы разрешить выполнение вредоносного кода при каждом запуске браузера. Другой метод сохранения вируса в функционально активном состоянии — использование уязвимости боковой загрузки OneDrive.

Следует отметить, что аналитики не до конца уверены, что атаки выполнялись именно Earth Kitsune, но способ их проведения и цели похожи на действия, характерные для этой группировки.

Поделиться новостью

ПОСЛЕДНИЕ НОВОСТИ

Взлом и Утечки

В сети обнаружили крадущий деньги и пароли вирус Efimer

Редакция

18:00 / 11 августа 2025

Взлом и Утечки
Кибербезопасность

Orion Soft усилил защиту zVirt через багбаунти

Редакция

15:05 / 11 августа 2025

ИИ
Кибербезопасность

В РФ создали сервис для выявления голосовых дипфейков

Редакция

15:00 / 11 августа 2025

Киберпреступления
Взлом и Утечки

Мошенники используют бренд Labubu для кражи криптовалют

Редакция

14:20 / 11 августа 2025

Мы используем файлы cookie, чтобы учесть ваши предпочтения и улучшить качество работы, в том числе удобство использования веб-сайта и оказываемых нами услуг. Оставаясь на нашем сайте, вы соглашаетесь с Политикой обработки персональных данных. Если вы хотите запретить обработку файлов cookie, отключите cookie в настройках вашего браузера