ผู้ที่มีความสนใจในสิ่งที่เกี่ยวข้องกับเกาหลีเหนือตกเป็นเป้าหมายของมัลแวร์ที่เฉพาะเจาะจงมาก
นักวิชาการด้านความปลอดภัยทางไซเบอร์ที่ Trend Micro (เปิดในแท็บใหม่) (ผ่าน BleepingComputer) เมื่อเร็วๆ นี้สังเกตเห็น Earth Kitsune ซึ่งเป็นภัยคุกคามที่เพิ่งเกิดขึ้น เจาะเว็บไซต์ที่สนับสนุนเกาหลีเหนือแล้วใช้เป็นประตูหลังที่เรียกว่า WhiskerSpy
มัลแวร์ช่วยให้ผู้คุกคามสามารถขโมยไฟล์ ถ่ายภาพหน้าจอ และฝังมัลแวร์ตัวช่วยลงในอุปกรณ์ที่ถูกบุกรุก
มัลแวร์ WhisperSpy
ตามที่นักวิชาการระบุว่า เมื่อบางคนเยี่ยมชมไซต์และพยายามเล่นเนื้อหาวิดีโอ พวกเขาจะได้รับแจ้งให้ติดตั้งตัวแปลงสัญญาณวิดีโอก่อน ผู้ที่ตกหลุมพรางจะดาวน์โหลดตัวแปลงสัญญาณที่ถูกกฎหมาย (Codecs-AVC1.msi) รุ่นดัดแปลงซึ่งติดตั้งแบ็คดอร์ WhiskerSpy
แบ็คดอร์นำเสนอความสามารถต่างๆ แก่ผู้คุกคาม รวมถึงการอัปโหลดไฟล์ไปยังจุดสิ้นสุดที่ถูกบุกรุก อัปโหลดไฟล์ ลบออก นับจำนวน ถ่ายภาพหน้าจอ โหลดไฟล์เรียกทำงานและเรียกใช้การส่งออก และใส่เชลล์โค้ดลงในไฟล์ กระบวนการ
ประตูหลังจะสื่อสารกับเซิร์ฟเวอร์คำสั่งและการควบคุม (C2) ของมัลแวร์ผ่านคีย์เข้ารหัส AES XNUMX บิต
แต่ไม่ใช่ว่าผู้มาเยือนทุกคนจะตกอยู่ในอันตราย ความจริงแล้ว มันอาจจะกำหนดเป้าหมายผู้เยี่ยมชมส่วนน้อยเท่านั้น เนื่องจาก Trend Micro พบว่าประตูหลังจะเปิดใช้งานเฉพาะเมื่อผู้เยี่ยมชมจากเสิ่นหยาง ประเทศจีน หรือนาโกย่า ประเทศญี่ปุ่นเปิดเว็บไซต์
ในความเป็นจริง ชาวบราซิลจะได้รับเชิญให้ดาวน์โหลดแบ็คดอร์ด้วย แต่นักวิชาการคิดว่าบราซิลใช้เพื่อทดสอบว่าการโจมตีได้ผลหรือไม่เท่านั้น
ท้ายที่สุด นักวิชาการพบว่าที่อยู่ IP ในบราซิลเป็นของบริการ VPN เชิงพาณิชย์
เมื่อติดตั้งแล้ว มัลแวร์จะทำทุกวิถีทางเพื่อให้คงอยู่ในอุปกรณ์ Earth Kitsune ถูกกล่าวหาว่าใช้โฮสต์เมลดั้งเดิมของเบราว์เซอร์ Google Chrome ของ Google เพื่อติดตั้งส่วนขยายที่เป็นอันตรายที่เรียกว่า Chrome Helper ส่วนขยายนี้จะดำเนินการเพย์โหลดทุกครั้งที่เปิดเบราว์เซอร์