I ricercatori della sicurezza informatica hanno scoperto un nuovo ceppo di malware Windows in grado di rubare dati sensibili da qualsiasi dispositivo connesso, inclusi i telefoni cellulari, ed è apparentemente utilizzato da gruppi legati al governo nordcoreano.
Gli esperti di ESET hanno affermato di aver incontrato un ladro di informazioni precedentemente sconosciuto di nome Dolphin. Apparentemente Dolphin viene utilizzato da un attore di minacce noto come APT 37, o Erebus, un gruppo con legami noti con il governo nordcoreano. Il gruppo, affermano i ricercatori, è attivo da circa un decennio.
Il delfino è stato visto per la prima volta nell'aprile 2021, ma da allora è diventato una vera bestia. Oggi è in grado di rubare informazioni dai browser Web (password memorizzate, dettagli della carta di credito, ecc.), acquisire schermate di terminali infetti e registrare tutte le sequenze di tasti.
Carica tutto su Google Drive
Il malware ottiene i suoi comandi da un'istanza di Google Drive e vi invia anche tutte le informazioni raccolte.
Oltre a tutto questo, Dolphin raccoglie anche informazioni come il nome del computer, l'indirizzo IP locale ed esterno, le soluzioni di sicurezza installate sul terminale, le specifiche hardware e la versione del sistema operativo.
Inoltre, esegue la scansione di tutte le unità locali e rimovibili alla ricerca di dati sensibili (documenti, e-mail, foto e video, ecc.) e degli smartphone. ESET afferma che ciò è stato reso possibile dall'API dei dispositivi mobili Windows.
Finora sono state rilevate quattro diverse versioni del malware, con l'ultima versione 3.0 rilasciata nel gennaio 2022.
La Corea del Nord è relativamente attiva sulla scena del crimine informatico, con alcuni grandi gruppi sponsorizzati dallo stato che stanno scatenando il caos nel mondo digitale. Forse l'esempio più famigerato è il Lazarus Group, che è riuscito a rubare circa 600 milioni di dollari dalla società di criptovalute Ronin Bridge. Rapporti di intelligence suggeriscono che il governo nordcoreano impiega team di criminali informatici per finanziare le sue operazioni.
Via: BleepingComputer (si apre in una nuova scheda)