Il famigerato collettivo di hacker nordcoreani, Lazarus Group, sta utilizzando una versione aggiornata della sua backdoor DTrack per prendere di mira le aziende in Europa e in America Latina. Il gruppo è a corto di soldi, affermano i ricercatori di Kaspersky, perché la campagna è puramente a scopo di lucro.
BleepingComputer(Opens in a new tab) ha riferito che gli attori delle minacce stanno utilizzando il DTrack aggiornato per attaccare aziende in Germania, Brasile, India, Italia, Messico, Svizzera, Arabia Saudita, Turchia e Stati Uniti.
Le aziende sotto tiro includono centri di ricerca governativi, istituti politici, produttori di prodotti chimici, fornitori di servizi IT, fornitori di telecomunicazioni, fornitori di servizi pubblici e società di istruzione.
portellone modulare
DTrack è descritto come una backdoor modulare. Puoi registrare sequenze di tasti, acquisire schermate, filtrare la cronologia del browser, visualizzare i processi in esecuzione e ottenere informazioni di accesso alla rete.
Può anche eseguire diversi comandi sul dispositivo di destinazione, scaricare malware aggiuntivo ed esfiltrare dati.
Dopo l'aggiornamento, DTrack ora utilizza API con hash per caricare librerie e funzioni, invece di stringhe offuscate, e utilizza solo tre server di comando e controllo (C2), rispetto ai sei precedenti.
Alcuni dei server C2 scoperti da Kaspersky per essere utilizzati dalla backdoor sono "pinkgoat[.]com", "aguapuratokio[.]com", "oso purple[.]com" e "salmonrabbit[.]com".
Ha anche scoperto che DTrack distribuisce malware contrassegnati con nomi di file solitamente associati a eseguibili legittimi.
In un caso, si diceva, la backdoor si nascondeva dietro "NvContainer.exe", un file eseguibile tipicamente distribuito da NVIDIA. Il gruppo userebbe le credenziali rubate per connettersi alle reti di destinazione o sfruttare i server esposti a Internet per installare il malware.
