Gli hacker nordcoreani tornano con una versione aggiornata di questo pericoloso malware

Gli hacker nordcoreani tornano con una versione aggiornata di questo pericoloso malware

Il famigerato collettivo di hacker nordcoreani, Lazarus Group, sta utilizzando una versione aggiornata della sua backdoor DTrack per prendere di mira le aziende in Europa e in America Latina. Il gruppo è a corto di soldi, affermano i ricercatori di Kaspersky, perché la campagna è puramente a scopo di lucro.

BleepingComputer(Opens in a new tab) ha riferito che gli attori delle minacce stanno utilizzando il DTrack aggiornato per attaccare aziende in Germania, Brasile, India, Italia, Messico, Svizzera, Arabia Saudita, Turchia e Stati Uniti.

Le aziende sotto tiro includono centri di ricerca governativi, istituti politici, produttori di prodotti chimici, fornitori di servizi IT, fornitori di telecomunicazioni, fornitori di servizi pubblici e società di istruzione.

portellone modulare

DTrack è descritto come una backdoor modulare. Puoi registrare sequenze di tasti, acquisire schermate, filtrare la cronologia del browser, visualizzare i processi in esecuzione e ottenere informazioni di accesso alla rete.

Può anche eseguire diversi comandi sul dispositivo di destinazione, scaricare malware aggiuntivo ed esfiltrare dati.

Dopo l'aggiornamento, DTrack ora utilizza API con hash per caricare librerie e funzioni, invece di stringhe offuscate, e utilizza solo tre server di comando e controllo (C2), rispetto ai sei precedenti.

Alcuni dei server C2 scoperti da Kaspersky come utilizzati dalla backdoor sono "pinkgoatcom", "aguapuratokiocom", "oso moradocom" e "salmonrabbitcom".

Ha anche scoperto che DTrack distribuisce malware contrassegnati con nomi di file solitamente associati a eseguibili legittimi.

In un caso, si diceva, la backdoor era nascosta dietro "NvContainer.exe", un file eseguibile solitamente distribuito da NVIDIA. Il gruppo utilizzerebbe credenziali rubate per connettersi alle reti prese di mira o sfruttare server esposti a Internet per installare malware.