WhiskerSpy Backdoor

Los investigadores de ciberseguridad han descubierto una nueva puerta trasera conocida como WhiskerSpy, que ha sido implementada por un grupo de actores de amenazas relativamente nuevo pero avanzado llamado Earth Kitsune. Este grupo se ha hecho famoso por apuntar a personas que han demostrado interés en Corea del Norte.

Para ejecutar su ataque, el grupo Earth Kitsune ha utilizado un método conocido como ataque de pozo de agua, que es una táctica comprobada y efectiva para obtener acceso al sistema de un objetivo. En este ataque, los actores de amenazas identifican un sitio web que su público objetivo visita con frecuencia y lo infectan con malware que les permite obtener acceso a los dispositivos de los visitantes cuando visitan el sitio. En este caso específico, el sitio web comprometido es un sitio web pro-Corea del Norte, que es visitado con frecuencia por personas interesadas en el país.

Los investigadores de seguridad han estado monitoreando las actividades de Earth Kitsune desde 2019 y descubrieron esta última campaña a fines del año anterior. Este descubrimiento es significativo, ya que destaca el hecho de que incluso los actores de amenazas relativamente nuevos se están volviendo cada vez más avanzados y representan una amenaza importante tanto para las personas como para las organizaciones.

La infección WhiskerSpy utiliza una táctica de ataque de abrevadero

La puerta trasera WhiskerSpy se entrega a los visitantes que intentan ver videos en un sitio web comprometido. El atacante ha inyectado una secuencia de comandos corrupta en el sitio web, lo que solicita a los visitantes que instalen un códec de video que supuestamente se requiere para ejecutar el contenido de video que se muestra. Para evitar la detección, el atacante modificó un instalador de códec legítimo para que finalmente cargue una puerta trasera nunca antes vista en el sistema de la víctima.

Según los investigadores, los actores de amenazas se dirigieron solo a los visitantes del sitio web que tenían direcciones IP de Shenyang, China, Nagoya, Japón y Brasil. Se sospecha que se utilizó Brasil para probar el ataque del pozo de agua mediante una conexión VPN, y los objetivos reales eran los visitantes de las dos ciudades de China y Japón. Las víctimas relevantes recibirían un mensaje de error falso que les pediría que instalaran un códec para ver el video. Sin embargo, el códec era, en realidad, un ejecutable MSI que instalaba un código shell en la computadora de la víctima, activando una serie de comandos de PowerShell que finalmente implementaron la puerta trasera WhiskerSpy.

En esta campaña, Earth Kitsune utilizó varias técnicas de persistencia para pasar desapercibido. Uno de esos métodos es el abuso del host de mensajería nativo en Google Chrome, que había instalado una extensión comprometida de Google Chrome llamada Google Chrome Helper. La extensión permitía la ejecución de la carga útil cada vez que se iniciaba el navegador. Otra técnica utilizada aprovecha las vulnerabilidades de carga lateral de OneDrive, que permitieron colocar un archivo no seguro (falso 'vcruntime140.dll') en el directorio de OneDrive.

WhiskerSpy tiene una amplia lista de funcionalidades amenazantes

WhiskerSpy es la carga útil final desplegada como parte de la campaña de ataque Earth Kitsune. La puerta trasera brinda a los operadores remotos varias capacidades, como un shell interactivo, la capacidad de descargar, cargar y eliminar archivos, enumerar archivos, tomar capturas de pantalla, cargar ejecutables e inyectar código shell en un proceso.

Para mantener la comunicación con el servidor de comando y control (C2, C&C), WhiskerSpy utiliza una clave AES de 16 bytes para el cifrado. La puerta trasera se conecta periódicamente al servidor C2 para recibir actualizaciones sobre su estado, y el servidor puede responder con instrucciones para el malware, como ejecutar comandos de shell, inyectar código en otro proceso, filtrar archivos específicos o tomar capturas de pantalla.

Los investigadores han descubierto una versión anterior de WhiskerSpy que usaba el protocolo FTP en lugar de HTTP para la comunicación C2. Esta variante anterior también verificó la presencia de un depurador en la ejecución e informó al C2 del código de estado apropiado. Estos hallazgos destacan la evolución constante del malware a medida que los atacantes adaptan y perfeccionan sus herramientas y técnicas para evadir la detección y aumentar su eficacia. Enfatiza la necesidad de medidas de seguridad sólidas y actualizadas para protegerse contra tales amenazas.