Chinotto Spyware
Se ha observado que una nueva amenaza de malware con todas las funciones rastreada como Chinotto Spyware se implementa en ataques contra desertores norcoreanos, periodistas que cubren noticias relacionadas con Corea del Norte y otras entidades surcoreanas. El malware actúa como una amenaza de última etapa que se envía a los sistemas ya vulnerados de las víctimas objetivo. La funcionalidad principal de Chinotto implica establecer control sobre el dispositivo comprometido, recopilar información confidencial de él y extraer los datos a un servidor de Comando y Control (C2, C&C).
La campaña de ataque se atribuye al grupo APT37 de amenazas persistentes avanzadas (APT), patrocinado por el estado. La comunidad de infosec también ha rastreado a este grupo particular de delitos informáticos relacionados con Corea del Norte como ScarCruft, InkySquid, Reaper Group y Ricochet Chollima. Esta reciente operación de ataque está muy dirigida. El actor de la amenaza usó cuentas de Facebook recopiladas para contactar a las personas elegidas y luego enviarles un correo electrónico de spear-phishing.
Los correos electrónicos corruptos contenían un documento atractivo que supuestamente está relacionado con la seguridad nacional de Corea del Sur y la situación con su vecino del norte. Una vez que el usuario intenta abrir el documento armado, se activa una macro oculta y comienza la cadena de ataque. Los investigadores de Infosec descubrieron y analizaron la operación APT37. Según sus hallazgos, utilizó múltiples amenazas de malware que se implementaron en diferentes etapas del ataque.
Cabe señalar que existe una variante de la amenaza Chinotto diseñada para infectar dispositivos Androidespecíficamente. El objetivo de los atacantes sigue siendo el mismo: obtener información confidencial y establecer rutinas de espionaje en el dispositivo móvil. La versión de Android se difundió a través de ataques smishing y provocó que los usuarios objetivo le concedieran una amplia gama de permisos de dispositivo. Si tiene éxito, la amenaza podrá acceder a la lista de contactos del usuario, mensajes, registros de llamadas, realizar grabaciones de audio y más. El software espía también recopilaría datos de varias aplicaciones específicas, como Huawei Driver, KakaoTalk y Tencent WeChat (Weixin).
