New WhiskerSpy malware delivered via trojanized codec installer
นักวิจัยด้านความปลอดภัยได้ค้นพบ backdoor ตัวใหม่ที่ชื่อว่า WhiskerSpy ที่ใช้ในแคมเปญที่ค่อนข้างใหม่และเป็นที่รู้จักจากการกำหนดเป้าหมายไปยังบุคคลที่แสดงความสนใจในเกาหลีเหนือ กลุ่มแฮ็กเกอร์ได้ทำการสุ่มเลือกเหยื่อจากผู้เยี่ยมชมเว็บไซต์ของเกาหลีเหนือ โดยใช้การโจมตีแบบ watering hole ซึ่งการโจมตีครั้งล่าสุดนี้ถูกค้นพบเมื่อปลายปีที่แล้วโดยนักวิจัยของบริษัทรักษาความปลอดภัยทางไซเบอร์ Trend Micro โดย Trend Micro รายงานว่า WhiskerSpy จะถูกแพร่กระจายหลังจากที่เหยื่อเข้าชมหรือพยายามดูวิดีโอบนเว็บไซต์ ซึ่งผู้โจมตีได้ทำการฝังสคริปต์ที่เป็นอันตรายไว้ที่เว็บไซต์เหล่านั้น ซึ่งจะใช้หลอกให้ผู้ที่เข้าชมเว็บไซต์ติดตั้งตัวแปลงสัญญาณวิดีโอเพื่อให้สามารถรับชมวิดีโอได้
เพื่อหลีกเลี่ยงการตรวจสอบของเหยื่อนั้นผู้โจมตีได้แก้ไขหน้าตาของโปรแกรมติดตั้งตัวแปลงสัญญาณให้ดูน่าเชื่อถือเพื่อหลอกให้เหยื่อดาวน์โหลด backdoor ไปยังระบบของเหยื่อ โดย WhiskerSpy สามารถทำการโจมตีจากระยะไกลได้ดังต่อไปนี้ interactive shell,download file,upload file,delete file,list files ,take screenshot,load executable and call its export,inject shellcode into a process
และเมื่อเหยื่อถูกฝัง backdoor ไว้ที่เครื่องแล้ว WhiskerSpy จะติดต่อกลับไปยังเซิร์ฟเวอร์ของผู้โจมตีเพื่อทำ command and control (C2) โดยใช้คีย์ AES 16 ไบต์สำหรับการเข้ารหัส โดย WhiskerSpy จะเชื่อมต่อกับเซิร์ฟเวอร์ C2 เป็นระยะๆเพื่อรายงานสถานะของตัวมันเอง โดยที่เซิร์ฟเวอร์อาจจะตอบสนองด้วยคำสั่งสำหรับมัลแวร์ เช่น ใช้คำสั่งเชลล์ แทรกโค้ด กรองไฟล์ หรือถ่ายภาพหน้าจอ เป็นต้น
https://www.bleepingcomputer.com/news/security/new-whiskerspy-malware-delivered-via-trojanized-codec-installer/