Cyberbezpieczeństwo
Interesujesz się Koreą Północną? Uważaj na malware ukryte na stronach
Jeśli interesujesz się Koreą Północną i poszukujesz informacji na jej temat w internecie, uważaj – właśnie wykryto nowe złośliwe oprogramowanie, które ukrywa się na stronach internetowych zawierających prokoreańskie treści.
WhiskerSpy to złośliwe oprogramowanie pozwalające atakującym na wykradanie plików, robienie zrzutów ekranu aktywności ofiary, a także instalowanie dodatkowych złośliwych programów na zainfekowanym komputerze.
Według badaczy z firmy Trend Micro, posługuje się nim gang cyberprzestępczy Earth Kitsune, który instaluje WhiskerSpy na stronach internetowych zawierających treści dotyczące Korei Północnej, w tym – w witrynach propagujących oficjalną propagandę reżimu Kim Dzong Una.
Czytaj też
Jak działa WhiskerSpy?
Eksperci twierdzą, że do infekcji złośliwym oprogramowaniem dochodzi w chwili, kiedy odwiedzający prokoreańskie strony internetowe dają się nabrać na instalację kodeka rzekomo niezbędnego do odtwarzania materiałów wideo.
Plik, który pobiera się na komputer ofiary, podszywa się pod prawdziwy kodek Codec-AVC1.msi, jest jednak zmodyfikowany tak, by instalować wspomniane wcześniej oprogramowanie WhiskerSpy.
Backdoor pozwala atakującym – jak już wspomnieliśmy wcześniej – nie tylko na pobieranie na atakowany komputer kolejnych plików złośliwego oprogramowania i pozyskiwanie jego zawartości, ale także uruchamianie plików wykonywalnych i wstrzykiwanie kodu w trwające procesy.
Czytaj też
Zagrożenie, ale nie dla wszystkich
Serwis Tech Radar podaje, że nie wszyscy odwiedzający prokoreańskie strony internetowe są zagrożeni. Według ekspertów z Trend Micro, backdoor aktywuje się w przypadku odwiedzających z Szenjangu w Chinach lub Nagoja w Japonii. Lepiej zatem nie ustawiać tych lokalizacji na VPN podczas swoich poszukiwań badawczych.