Il gruppo di minacce persistenti avanzate Earth Kitsune ha lanciato un attacco watering hole volto a distribuire la nuova backdoor WhiskerSpy.
Earth Kitsune ha compromesso un sito web a favore della Corea del Nord per diffondere il malware WhiskerSpy attraverso un codec video che deve essere installato prima che i visitatori del sito possano guardare i video sul sito, secondo un rapporto di Trend Micro.
Solo i visitatori del sito con indirizzi IP di Nagoya, Giappone, Shenyang, Cina e Brasile sono stati presi di mira dal sito web, con il Brasile probabilmente utilizzato per testare gli attacchi watering hole, hanno detto i ricercatori.
Con WhiskerSpy, gli attori delle minacce possono ottenere funzionalità di shell interattiva, download, upload, cancellazione ed elencazione di file, cattura di screenshot, caricamento di eseguibili e iniezione di shellcode. Nel frattempo, la persistenza viene ottenuta sfruttando l’host di messaggistica nativo di Google Chrome per facilitare l’installazione dell’estensione malevola Google Chrome Helper.