Malware Chinotto atakuje urządzenia Windows i Android

Informatycy z firmy Kaspersky odkryli nietypowy malware, który atakuje zarówno urządzenia Windows, jak i Android. Nosi nazwę Chinotto i jego twórcą jest grupa hakerska ScarCraft specjalizująca się w atakach (Advanced Persistent Threat), którą sponsoruje prawdopodobnie rząd Korei Północnej.

Foto: Mikhail Nilov/Pexels

Odkryto trzy wersje tego złośliwego oprogramowania. Pierwsza ma postać skryptu PowerShell, druga jest po prostu plikiem wykonywalnym systemu Windows, a trzecia jest aplikacją systemu Android. Wszystkie trzy wersje posiadają identyczny schemat sterowania i kontroli (bazujący na komunikacji HTTP), dlatego operatorzy kampanii wykorzystujących szkodliwe oprogramowania mogą kontrolować całość za pomocą jednego zestawu skryptów.

Badania firmy Kaspersky wykazały, że chociaż obecna kampania ataków rozpoczęła się w pierwszym kwartale tego roku, to istniało już kilka starszych wariantów tego szkodliwego oprogramowania, datowanych na połowę 2020 r. Po udanym ataku na system hakerzy potrafią zagnieżdżać w jego pamięci kilka wersji malware’u i spokojnie czekać na stosowny moment, aby zainicjować właściwe działanie. W jednym z analizowanych przypadków czekali nawet pół roku po dostaniu się do hosta, zanim wdrożyli i uruchomili kod Chinotto.

Zobacz również:

  • Rosyjska policja namierzyła i zlikwidowała hakerską grupę REvil
  • Microsoft o ostatnim cyberataku na Ukrainę

Na podstawie analizy kodu badacze z Kaspersky uważają, że nie tylko umożliwia on atakującym szpiegowanie swoich ofiar za pomocą zrzutów ekranu, ale także daje im możliwość kontrolowania zainfekowanych urządzeń, otwierając tylne drzwi w celu wyodrębnienia danych, a nawet instalować dodatkowe złośliwe oprogramowanie.

W wyniku jednoczesnego zainfekowania komputera i telefonu ofiary, operator szkodliwego oprogramowania może obejść uwierzytelnienie dwuskładnikowe w komunikatorach internetowych lub poczcie e-mail, kradnąc wiadomości SMS z telefonu. Potem może już ukraść dowolne interesujące go informacje i kontynuować ataki, np. na znajomych lub partnerów biznesowych ofiary. Jedną z cech charakterystycznych nowego szkodliwego oprogramowania jest ogromna ilość dodatkowego, nie mającego żadnego znaczenia kodu, który ma utrudnić wykrycie zagrożenia.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200