Waarom je interesse in Noord-Korea je (online) duur kan komen te staan
:format(jpeg):background_color(fff)/https%3A%2F%2Fwww.want.nl%2Fwp-content%2Fuploads%2F2022%2F12%2FANP-376014365.jpg)
Doe je wel eens, vanuit eigen interesse, onderzoek naar Noord-Korea? Dan kun je het slachtoffer worden van specifieke malware. Helemaal wanneer je websites bezoekt die pro-Noord-Korea zijn. De malafide software kan gegevens stelen en zelfs andere malware installeren — en dat wil je natuurlijk voorkomen.
Dat hebben onderzoekers van Trend Micro ontdekt. Het gaat om malware met de naam Earth Kitsune, die voornamelijk actief is op websites die pro-Noord-Korea zijn. Via die sites worden achterdeurtjes ingebouwd, waarmee gegevens gestolen kunnen worden. Ook kunnen andere programma’s geïnstalleerd worden.
Pro-Noord-Korea-sites met malware
De onderzoekers melden dat wanneer iemand een video op zo’n website wil bekijken, ze eerst een bepaalde codec dienen te installeren. Dat is vanzelfsprekend onzin, maar wanneer je er toch intrapt dan download je een legitieme videocodec. Dat is Codec-AVC1.msi, waarmee de WhisperSpy-malware binnenkomt.
:format(jpeg):background_color(fff)/https%3A%2F%2Fwww.want.nl%2Fwp-content%2Fuploads%2F2017%2F09%2FNorth-Korea1.jpg)
Naast de bovenstaande opties kan de malware ook bestanden verwijderen, in kaart brengen en uploaden. Ook kan die screenshots maken, uitvoerbare bestanden activeren, informatie exporteren en zelfs shellcode injecteren. De communicatie met de server is beveiligd via een 16-bit AES-encryptiesleutel.
Hoe groot is dit risico?
Dat klink allemaal eng en gevaarlijk, dus is het goed om te weten dat dit gedrag vooralsnog alleen voorkomt in Shenyang, China of Nagoya, Japan. Alleen bezoekers uit die gebieden lijken hier slachtoffer van te kunnen worden. Er zijn ook meldingen vanuit Brazilië, maar waarschijnlijk testte de makers de malware daar. Het kan ook geklooi met een VPN zijn, om de locatie van de makers te maskeren.
Wanneer de malware eenmaal op je systeem staat, doet die er alles aan om daar te blijven. Ook schijnt de software een extensie via de Google Chrome-browser te downloaden, genaamd Google Chrome Helper. Die doorloopt de payload op het moment dat je de browser opent (of zolang de browser nog openstaat).
Starbucks gaat ons leven makkelijker maken met een… AI-apparaat?
:format(jpeg):background_color(fff)/https%3A%2F%2Fwww.want.nl%2Fwp-content%2Fuploads%2F2023%2F03%2FElektrische-auto-goedkoop.png)
:format(jpeg):background_color(fff)/https%3A%2F%2Fwww.want.nl%2Fwp-content%2Fuploads%2F2024%2F03%2F20240226_114922465_iOS.jpg)
:format(jpeg):background_color(fff)/https%3A%2F%2Fwww.want.nl%2Fwp-content%2Fuploads%2F2020%2F01%2FANP-401664291.jpg)
:format(jpeg):background_color(fff)/https%3A%2F%2Fwww.want.nl%2Fwp-content%2Fuploads%2F2024%2F04%2FApple-Vision-Pro.png)
:format(jpeg):background_color(fff)/https%3A%2F%2Fwww.want.nl%2Fwp-content%2Fuploads%2F2024%2F04%2FMicroled-Samsung.png)
:format(jpeg):background_color(fff)/https%3A%2F%2Fwww.want.nl%2Fwp-content%2Fuploads%2F2023%2F03%2FNintendo-Switch-Super-Mario.png)