Studiuesit e ASEC kanë zbuluar një pjesë të re të malware, të quajtur FadeStealer, i cili mund të vjedhë të dhëna të ndjeshme nga kompjuteri juaj dhe të regjistrojë bisedat e njerëzve afër duke përdorur mikrofonin e pajisjes tuaj. Autorë të aktiviteteve të spiunazhit janë kriminelët kibernetikë të grupit APT37 (StarCruft, Reaper ose RedEyes) të financuar nga Koreja e Veriut.
Info-stealer dhe spyware
Zinxhiri i infeksionit fillon me dërgimin e një emaili phishing. Të bashkangjitur janë tre skedarë: një dokument Word, një dokument Hangul dhe një skedar i Përpiluar HTML Help File (CHM) me emrin password.chm. Mesazhi thotë se skedari password.chm duhet të hapet për të marrë fjalëkalimin për dy dokumentet.
Fjalëkalimi i shfaqet në të vërtetë përdoruesit, por në sfond shkarkohet dhe ekzekutohet një skrip i pasme PowerShell i cili shton një çelës në regjistër për qëndrueshmëri (autostart). Backdoor komunikon me serverin C&C (komandë dhe kontroll), nga i cili merr komanda të ndryshme.
Më pas shkarkohet një derë e dytë e pasme (AblyGo), e cila ju lejon të fitoni privilegje të larta, të vidhni të dhëna dhe të shpërndani malware të tjerë. Për ekfiltrimin e të dhënave, përdoret FadeStealer, i cili injektohet në procesin legjitim ieinstal.exe të Internet Explorer.
Përveç aktiviteteve tradicionale të vjedhjes së informacionit (pamjet e ekranit, tastierë dhe vjedhje dokumentesh), FadeStealer mund të përdorë mikrofonin për të regjistruar bisedat e njerëzve aty pranë. Të gjitha të dhënat më pas kompresohen në një arkiv RAR (kopjohen në drejtori të ndryshme %Temp%) dhe dërgohen te serveri C&C çdo 30 minuta.
Discussion about this post