WhiskerSpy Backdoor vinculado ao APT
Os pesquisadores identificaram um novo backdoor que foi vinculado ao grupo avançado de ameaças persistentes Earth Kitsune, um grupo que eles estudaram anteriormente. O Earth Kitsune distribui backdoors autodesenvolvidos para alvos interessados na Coreia do Norte desde 2019. Em casos anteriores, os pesquisadores descobriram que o grupo usou táticas de watering hole para comprometer sites relacionados à Coreia do Norte e injetar exploits no navegador. No entanto, em seu último ataque, o grupo empregou táticas de engenharia social em vez de exploits de navegador.
No final de 2022, os pesquisadores descobriram que o site de uma organização pró-norte-coreana havia sido comprometido para distribuir malware. Os invasores injetaram um script malicioso nas páginas de vídeo do site que exibiam uma mensagem de erro falsa, levando as vítimas a baixar e instalar um instalador de codec trojanizado que carregava um novo backdoor chamado "WhiskerSpy". Os invasores também usaram uma técnica de persistência que tirou proveito do host de mensagens nativo do Google Chrome.
Os invasores configuraram as páginas da Web para entregar o script malicioso exclusivamente aos visitantes de uma lista de endereços IP, dificultando a detecção do ataque. No entanto, os pesquisadores encontraram um arquivo de texto no servidor dos invasores contendo uma expressão regular que correspondia aos endereços IP visados. Os pesquisadores observaram que os endereços IP em Shenyang e Nagoya provavelmente eram os alvos reais, enquanto os endereços IP visados no Brasil pertenciam principalmente a um serviço VPN comercial que os invasores podem ter usado para testar seus ataques watering hole. Para verificar o ataque, os pesquisadores usaram o mesmo serviço VPN para receber com sucesso o script malicioso.
O que é um Backdoor e como ele pode expor você a ameaças adicionais?
Um backdoor é um tipo de software ou código malicioso que fornece acesso não autorizado a um computador ou rede, contornando os mecanismos normais de segurança. Backdoors podem ser usados por cibercriminosos para obter acesso a informações confidenciais, instalar malware adicional ou assumir o controle de um sistema remotamente.
Depois que um backdoor é instalado, ele pode deixar um sistema aberto a uma ampla gama de ameaças adicionais. Por exemplo, os invasores podem usar o backdoor para roubar credenciais de login, instalar keyloggers para capturar dados confidenciais ou lançar um ataque de ransomware para criptografar arquivos no sistema comprometido. Backdoors também podem ser usados para espalhar o malware para outros sistemas na rede, permitindo que os invasores expandam seu alcance e obtenham acesso a dados mais confidenciais.
Além dos danos potenciais causados por acesso não autorizado e roubo de dados, backdoors podem ser difíceis de detectar e remover. Como são projetados para burlar os mecanismos normais de segurança, eles podem ficar ocultos no código do sistema, dificultando sua detecção com as ferramentas antivírus padrão. Como resultado, a presença de um backdoor pode deixar um sistema vulnerável a ataques por um longo período de tempo, mesmo após a remoção de outro malware.
