I ricercatori di ASEC hanno scoperto un nuovo malware, denominato FadeStealer, che può rubare dati sensibili dal computer e registrare le conversazioni delle persone nelle vicinanze utilizzando il microfono del dispositivo. Gli autori delle attività di spionaggio sono i cybercriminali del gruppo APT37 (StarCruft, Reaper o RedEyes) finanziato dalla Corea del Nord.

Info-stealer e spyware

La catena di infezione inizia con l’invio di una email di phishing. In allegato ci sono tre file: un documento Word, un documento Hangul e un file CHM (Compiled HTML Help File) denominato password.chm . Nel messaggio è scritto che deve essere aperto il file password.chm per ottenere la password dei due documenti.

La password viene effettivamente mostrata all’utente, ma in background viene scaricato ed eseguito uno script PowerShell con funzionalità di backdoor che aggiunge una chiave nel registro per la persistenza (avvio automatico). La backdoor comunica con il server C&C (command and control), dal quale riceve vari comandi.

Viene quindi scaricata una seconda backdoor (AblyGo) che permette di ottenere privilegi elevati, rubare dati e distribuire altri malware. Per l’esfiltrazione dei dati viene usato FadeStealer, iniettato nel processo legittimo ieinstal.exe di Internet Explorer.