Mientras investigaban una campaña de malware en curso, los investigadores de ciberseguridad han descubierto nuevos programas espía con variantes que funcionan tanto en dispositivos Android como en computadoras con Windows.
Llamado Chinotto, el malware fue descubierto por investigadores de Kaspersky, quienes creen que está siendo utilizado por un actor de amenazas patrocinado por el estado conocido como ScarCraft para vigilar a los desertores norcoreanos, reporteros que cubren noticias relacionadas con Corea del Norte y otros.
"El actor utilizó tres tipos de malware con una funcionalidad similar: versiones implementadas en PowerShell, ejecutables de Windows y aplicaciones de Android ... Como resultado, los operadores de malware pueden controlar toda la familia de malware a través de un conjunto de scripts de comando y control", señalan los investigadores.
Las investigaciones revelaron que el autor de la amenaza distribuyó el malware a través de un ataque de phishing, que perpetró después de comprometer el conocimiento de la víctima mediante el uso de redes sociales o credenciales de correo electrónico robadas.
Poderoso espía
Las investigaciones han revelado que, si bien la campaña actual comenzó en marzo de 2021, había varias variantes más antiguas del malware que se remontan a mediados de 2020.
Después de comprometer a un host, los actores de amenazas desataron múltiples cepas de malware para tomar el control del host. Curiosamente, en un caso, esperaron seis meses después de comprometer a un host antes de implementar Chinotto.
Según su análisis de Chinotto, los investigadores creen que esto no solo permite a los atacantes espiar a sus víctimas a través de capturas de pantalla, sino que también les puede dar la capacidad de controlar los dispositivos comprometidos, abrir una puerta trasera para exfiltrar datos e instalar malware adicional.
Además, la investigación encontró que los atacantes estaban manipulando las capacidades del malware en lo que parece ser un intento de frustrar la detección tradicional basada en firmas.