Расследуя продолжающуюся кампанию по распространению вредоносного ПО, исследователи кибербезопасности обнаружили новое шпионское ПО, варианты которого работают как на устройствах Android, так и на компьютерах Windows.
Вредоносное ПО под названием Chinotto было обнаружено исследователями Касперского, которые полагают, что оно используется спонсируемым государством злоумышленником, известным как ScarCraft, для слежки за северокорейскими перебежчиками, репортерами, освещающими новости, связанные с Северной Кореей, и другими.
«Актер использовал три типа вредоносного ПО со схожим функционалом: версии, реализованные в PowerShell, исполняемые файлы Windows и приложения Android... В результате операторы вредоносных программ могут контролировать все семейство вредоносных программ с помощью набора вредоносных скриптов. Командование и контроль», отмечают исследователи.
Расследование показало, что злоумышленник распространил вредоносное ПО посредством фишинговой атаки, которую он совершил после компрометации знаний жертвы посредством использования социальных сетей или украденных учетных данных электронной почты.
Мощный шпион
Расследование показало, что, хотя текущая кампания началась в марте 2021 года, существовало несколько старых вариантов вредоносного ПО, датированных серединой 2020 года.
После компрометации хоста злоумышленники запустили несколько штаммов вредоносного ПО, чтобы взять его под контроль. Интересно, что в одном случае они ждали шесть месяцев после компрометации хоста, прежде чем развернуть Chinotto.
Основываясь на анализе Чинотто, исследователи полагают, что это не только позволяет злоумышленникам шпионить за своими жертвами с помощью снимков экрана, но также может дать им возможность контролировать скомпрометированные устройства, открывать бэкдор для кражи данных и устанавливать дополнительное вредоносное ПО.
Кроме того, расследование показало, что злоумышленники манипулировали возможностями вредоносного ПО, пытаясь помешать традиционному обнаружению на основе сигнатур.