Посмотрел видео и заразился: что известно о бэкдоре WhiskerSpy - IT Speaker, новости информационных технологий

Посмотрел видео и заразился: что известно о бэкдоре WhiskerSpy

Фотография unsplash

Аналитики компании Trend Micro обнаружили новый бэкдор под названием WhiskerSpy — он используется в атаках группировки Earth Kitsune, жертвами которой рискуют стать те, кто интересуется Северной Кореей.

Новая серия атак с использованием бэкдора WhiskerSpy обнаружена в конце прошлого года. По данным аналитиков, злоумышленники внедрили вредоносный скрипт на сайт о Северной Корее, который просит читателей установить видеокодек для запуска мультимедиа. Хакеры модифицировали легитимную программу установки кодека таким образом, что в конечном итоге она загружает бэкдор в систему жертвы.

Пока таким атакам подверглись посетители сайта с IP-адресами из Китая, Японии и Бразилии. Эксперты предполагают, что бразильские IP-адреса использовались только для тестирования атаки с помощью VPN-соединения, а реальными целями были посетители из нескольких китайских и японских городов. Пользователи из конкретных населенных пунктов видят сообщение об ошибке, которое предлагает установить видеокодек.

В действительности кодек представляет собой исполняемый MSI-файл, который устанавливает на компьютер жертвы шелл-код, запускающий серию команд PowerShell, которые и приводят к развертыванию бэкдора.

Исследователи отмечают, что группировка Earth Kitsune использует встроенный узел обмена сообщениями в Google Chrome и устанавливает вредоносное расширение Google Chrome Helper. Роль расширения заключается в том, чтобы разрешить выполнение вредоносного кода при каждом запуске браузера. Другой метод сохранения вируса в функционально активном состоянии — использование уязвимости боковой загрузки OneDrive.

Следует отметить, что аналитики не до конца уверены, что атаки выполнялись именно Earth Kitsune, но способ их проведения и цели похожи на действия, характерные для этой группировки.

Поделиться новостью

ПОСЛЕДНИЕ НОВОСТИ

ИТ

«Код Безопасности» представил «Континент 4» (версия 4.2)

Редакция

17:20 / 25 апреля 2025

Взлом и Утечки

Число DDoS-атак выросло на 110%

Редакция

16:00 / 25 апреля 2025

ИТ

ЦБТ исключил возможность взять кредит по «чужой» биометрии

Редакция

15:00 / 25 апреля 2025

Взлом и Утечки

В РФ с начала 2025 года утекло 21,5 млн телефонных номеров

Редакция

14:40 / 25 апреля 2025

Мы используем файлы cookie, чтобы учесть ваши предпочтения и улучшить качество работы, в том числе удобство использования веб-сайта и оказываемых нами услуг. Оставаясь на нашем сайте, вы соглашаетесь с Политикой обработки персональных данных. Если вы хотите запретить обработку файлов cookie, отключите cookie в настройках вашего браузера