Puerta trasera WhiskerSpy vinculada a APT
Los investigadores han identificado una nueva puerta trasera que se ha relacionado con el grupo de amenazas persistentes avanzadas Earth Kitsune, un grupo que han estudiado previamente. Earth Kitsune ha estado distribuyendo puertas traseras de desarrollo propio a objetivos interesados en Corea del Norte desde 2019. En casos anteriores, los investigadores descubrieron que el grupo usó tácticas de abrevadero para comprometer sitios web relacionados con Corea del Norte e inyectar exploits de navegador. Sin embargo, en su último ataque, el grupo empleó tácticas de ingeniería social en lugar de explotar el navegador.
A fines de 2022, los investigadores descubrieron que el sitio web de una organización pro norcoreana se había visto comprometido para distribuir malware. Los atacantes inyectaron un script malicioso en las páginas de video del sitio web que mostraban un mensaje de error falso, lo que incitaba a las víctimas a descargar e instalar un instalador de códec troyano que cargaba una nueva puerta trasera llamada "WhiskerSpy". Los atacantes también utilizaron una técnica de persistencia que aprovechó el servidor de mensajería nativo de Google Chrome.
Los atacantes configuraron las páginas web para entregar el script malicioso exclusivamente a los visitantes desde una lista de direcciones IP, lo que dificulta la detección del ataque. Sin embargo, los investigadores encontraron un archivo de texto en el servidor de los atacantes que contenía una expresión regular que coincidía con las direcciones IP objetivo. Los investigadores notaron que las direcciones IP en Shenyang y Nagoya probablemente eran los objetivos reales, mientras que las direcciones IP objetivo en Brasil pertenecían en su mayoría a un servicio VPN comercial que los atacantes podrían haber usado para probar sus ataques de abrevadero. Para verificar el ataque, los investigadores usaron el mismo servicio VPN para recibir con éxito el script malicioso.
¿Qué es una puerta trasera y cómo puede exponerlo a amenazas adicionales?
Una puerta trasera es un tipo de software o código malicioso que proporciona acceso no autorizado a una computadora o red, eludiendo los mecanismos de seguridad normales. Los ciberdelincuentes pueden utilizar las puertas traseras para obtener acceso a información confidencial, instalar malware adicional o tomar el control de un sistema de forma remota.
Una vez que se instala una puerta trasera, puede dejar un sistema abierto a una amplia gama de amenazas adicionales. Por ejemplo, los atacantes pueden usar la puerta trasera para robar credenciales de inicio de sesión, instalar registradores de teclas para capturar datos confidenciales o lanzar un ataque de ransomware para cifrar archivos en el sistema comprometido. Las puertas traseras también se pueden usar para propagar el malware a otros sistemas en la red, lo que permite a los atacantes expandir su alcance y obtener acceso a datos más confidenciales.
Además del daño potencial causado por el acceso no autorizado y el robo de datos, las puertas traseras pueden ser difíciles de detectar y eliminar. Debido a que están diseñados para eludir los mecanismos de seguridad normales, pueden ocultarse en lo más profundo del código de un sistema, lo que dificulta su detección con las herramientas antivirus estándar. Como resultado, la presencia de una puerta trasera puede hacer que un sistema sea vulnerable a ataques durante un período de tiempo prolongado, incluso después de que se haya eliminado otro malware.
