Chinotto Spyware

Il a été observé qu'une nouvelle menace de logiciel malveillant complète, identifiée comme le logiciel espion Chinotto, était déployée dans des attaques contre des transfuges nord-coréens, des journalistes couvrant les actualités liées à la Corée du Nord et d'autres entités sud-coréennes. Le malware agit comme une menace à un stade avancé qui est transmise aux systèmes déjà violés des victimes ciblées. La principale fonctionnalité de Chinotto consiste à établir un contrôle sur l'appareil compromis, à collecter diverses informations sensibles à partir de celui-ci et à exfiltrer les données vers un serveur de commande et de contrôle (C2, C&C).

La campagne d'attaque est attribuée au groupe APT37 (Advanced Persistent Threat) parrainé par l'État. La communauté infosec a également suivi ce groupe de cybercriminalité lié à la Corée du Nord comme ScarCruft, InkySquid, Reaper Group et Ricochet Chollima. Cette récente opération d'attaque est très ciblée. L'acteur de la menace a utilisé les comptes Facebook collectés pour contacter les individus choisis, puis leur envoyer un e-mail de spear-phishing.

Les e-mails corrompus contenaient un document leurre censé être lié à la sécurité nationale de la Corée du Sud et à la situation avec son voisin du nord. Une fois que l'utilisateur essaie d'ouvrir le document armé, une macro cachée est déclenchée et la chaîne d'attaque commence. Les chercheurs d'Infosec ont découvert et analysé l'opération APT37. Selon leurs conclusions, il a utilisé plusieurs menaces de logiciels malveillants qui ont été déployées à différentes étapes de l'attaque.

Il convient de noter qu'il existe une variante de la menace Chinotto conçue pour infecter les appareils AndroidPlus précisément. L'objectif des attaquants reste le même : obtenir des informations sensibles et établir des routines d'espionnage sur l'appareil mobile. La version Android s'est propagée via des attaques de smishing et a incité les utilisateurs ciblés à lui accorder un large éventail d'autorisations d'appareils. En cas de succès, la menace pourra accéder à la liste de contacts de l'utilisateur, aux messages, aux journaux d'appels, effectuer des enregistrements audio et plus encore. Le logiciel espion collecterait également des données à partir de plusieurs applications ciblées telles que Huawei Driver, KakaoTalk et Tencent WeChat (Weixin).