سایت‌های کره شمالی به بدافزار آلوده هستند

کارشناسان امنیت سایبری هشداد دادند که یک در پشتی در وب‌سایت‌های طرفدار کره شمالی در حال نصب است.

به نقل از techradar، افرادی که به همه چیز کره شمالی علاقه دارند با بدافزار بسیار خاصی مورد هدف قرار می‌گیرند.

محققان امنیت سایبری از Trend Micro اخیراً Earth Kitsune را مشاهده کرده‌اند که یک عامل تهدید نوظهور است که یک وب‌سایت طرفدار کره شمالی را نقض می کند و سپس از آن سایت برای ارائه یک در پشتی با نام WhiskerSpy استفاده می‌کند.

این بدافزار به عوامل تهدید اجازه می‌دهد تا فایل‌ها را بدزدند، اسکرین‌شات بگیرند و بدافزار اضافی را در نقطه پایانی در معرض خطر مستقر کنند.

به گفته محققان، هنگامی که افراد خاصی از وب‌سایت بازدید می‌کنند و به دنبال اجرای محتوای ویدیویی هستند، ابتدا از آن‌ها خواسته می‌شود که یک codec ویدیویی نصب کنند. کسانی که به این ترفند علاقه دارند نسخه اصلاح شده یک codec قانونی (Codec-AVC۱.msi) را دانلود می‌کنند که در پشتی WhiskerSpy را نصب می‌کند.

در پشتی به عوامل تهدید تعدادی قابلیت مختلف از جمله دانلود فایل‌ها به نقطه پایانی در معرض خطر، آپلود فایل‌ها، حذف آن‌ها، فهرست کردن آن‌ها، گرفتن اسکرین‌شات، بارگیری فایل‌های اجرایی، فراخوانی آن و تزریق کد پوسته به فرآیندها را می‌دهد.

سپس در پشتی با استفاده از یک کلید رمزگذاری AES ۱۶ بایتی با سرور فرمان و کنترل بدافزار ارتباط برقرار می‌کند.

پس از نصب، بدافزار تا حد زیادی روی دستگاه باقی می‌ماند. ظاهراً Earth Kitsune از میزبان پیام‌رسانی بومی در مرورگر گوگل کروم برای نصب یک افزونه مخرب به نام Google Chrome Helper استفاده می‌کند. این افزونه هر بار که مرورگر شروع به کار می‌کند، بار را اجرا می کند.

منبع:

https://www.techradar.com/news/researching-north-korea-online-you-could-be-victim-of-a-malware-attack