Στο website της υπηρεσίας ειδήσεων της Βόρειας Κορέας, KCNA, βρέθηκε κακόβουλο λογισμικό που προσποιείται ότι είναι ενημέρωση για παλιές εκδόσεις του Adobe Flash Player, τύπου malware dropper.
Ερευνητής ασφαλείας ανέλυσε τον πηγαίο κώδικα της ιστοσελίδας του Κορεάτικου Κεντρικού Πρακτορείο Ειδήσεων (KCNA), και ανακάλυψε ένα ύποπτο αρχείο στο root του directory, “kcna.user.exploit.exploit.kcmsf”, που περιείχε κώδικα JavaScript υπεύθυνος για τη λήψη εκτελέσιμου αρχείου για το Flash Player 10.
Ένας άλλος ερευνητής ασφαλείας που αρθρογραφεί στο InfoSecOtter, έβαλε το εκτελέσιμο αρχείο στις μηχανές του VirusTotal, όπου τα περισσότερα software, (42 από 55), το επισήμαναν ως κακόβουλο και του αποδίδουν το χαρακτηριστικό του malware dropper, ότι δηλαδή κατεβάζει και εγκαθιστά malware στο σύστημα που βρίσκεται.
Η ArsTechnica έκανε τη δική της έρευνα και συμπέρανε ότι η ψεύτικη ενημέρωση του Flash δημιουργήθηκε το Δεκέμβριο του 2012, η οποία αντιστοιχεί στο μεγαλύτερο μέρος του κώδικα της ιστοσελίδας.
Βρήκαν επίσης και ένα JavaScript η λειτουργία του οποίου ήταν να ελέγχει τις εκδόσεις του Flash που υποστηρίζονται από τα προγράμματα περιήγησης των επισκεπτών. Όπως φαίνεται ο σκοπός του ήταν ο έλεγχος των πελατών του WebTV, της ιστοσελίδας.
Ένα ενδιαφέρον στοιχεία που ανακαλύφθηκε από την ArsTechnica, είναι το γεγονός ότι το malware dropper αρχείο, υπάρχει στον κώδικα όλων των σελίδων, και είναι επίσης εύκολα προσβάσιμο, αλλά δε βρήκαν κάποιο string που καλεί τη θέση του αρχείου.
Αυτή τη στιγμή, δεν υπάρχουν λεπτομέρειες σχετικά με την ακριβή λειτουργία του malware dropper ή τη διεύθυνση με την οποία επικοινωνεί, αλλά το InfoSecOtter υποσχέθηκε να δώσει περισσότερες πληροφορίες σχετικά με το κώδικα εκτέλεσης, ποιες τροποποιήσεις έκανε στη σελίδα και αν καταφέρουν να βρουν, τη τοποθεσία με την οποία επικοινωνεί το συγκεκριμένο script.