Malware Chinotto atakuje urządzenia Windows i Android
- Janusz Chustecki,
- 03.12.2021, godz. 10:55
Informatycy z firmy Kaspersky odkryli nietypowy malware, który atakuje zarówno urządzenia Windows, jak i Android. Nosi nazwę Chinotto i jego twórcą jest grupa hakerska ScarCraft specjalizująca się w atakach (Advanced Persistent Threat), którą sponsoruje prawdopodobnie rząd Korei Północnej.
Odkryto trzy wersje tego złośliwego oprogramowania. Pierwsza ma postać skryptu PowerShell, druga jest po prostu plikiem wykonywalnym systemu Windows, a trzecia jest aplikacją systemu Android. Wszystkie trzy wersje posiadają identyczny schemat sterowania i kontroli (bazujący na komunikacji HTTP), dlatego operatorzy kampanii wykorzystujących szkodliwe oprogramowania mogą kontrolować całość za pomocą jednego zestawu skryptów.
Badania firmy Kaspersky wykazały, że chociaż obecna kampania ataków rozpoczęła się w pierwszym kwartale tego roku, to istniało już kilka starszych wariantów tego szkodliwego oprogramowania, datowanych na połowę 2020 r. Po udanym ataku na system hakerzy potrafią zagnieżdżać w jego pamięci kilka wersji malware’u i spokojnie czekać na stosowny moment, aby zainicjować właściwe działanie. W jednym z analizowanych przypadków czekali nawet pół roku po dostaniu się do hosta, zanim wdrożyli i uruchomili kod Chinotto.
Zobacz również:
- Przeglądarka Chrome będzie jeszcze jakiś czas akceptować pliki cookie
- Co trzecia firma w Polsce z cyberincydentem
Na podstawie analizy kodu badacze z Kaspersky uważają, że nie tylko umożliwia on atakującym szpiegowanie swoich ofiar za pomocą zrzutów ekranu, ale także daje im możliwość kontrolowania zainfekowanych urządzeń, otwierając tylne drzwi w celu wyodrębnienia danych, a nawet instalować dodatkowe złośliwe oprogramowanie.
W wyniku jednoczesnego zainfekowania komputera i telefonu ofiary, operator szkodliwego oprogramowania może obejść uwierzytelnienie dwuskładnikowe w komunikatorach internetowych lub poczcie e-mail, kradnąc wiadomości SMS z telefonu. Potem może już ukraść dowolne interesujące go informacje i kontynuować ataki, np. na znajomych lub partnerów biznesowych ofiary. Jedną z cech charakterystycznych nowego szkodliwego oprogramowania jest ogromna ilość dodatkowego, nie mającego żadnego znaczenia kodu, który ma utrudnić wykrycie zagrożenia.