Le tristement célèbre collectif de hackers nord-coréen, Lazarus Group, utilise une version mise à jour de sa porte dérobée DTrack pour cibler des entreprises en Europe et en Amérique latine. Le groupe est à court d'argent, disent les chercheurs de Kaspersky, car la campagne est purement lucrative.
BleepingComputer(Ouvre dans un nouvel onglet) a signalé que des pirates utilisent le DTrack mis à jour pour attaquer des entreprises en Allemagne, au Brésil, en Inde, en Italie, au Mexique, en Suisse, en Arabie saoudite, en Turquie et aux États-Unis.
Les entreprises sous le feu comprennent des centres de recherche gouvernementaux, des instituts politiques, des fabricants de produits chimiques, des fournisseurs de services informatiques, des fournisseurs de télécommunications, des fournisseurs de services publics et des entreprises d'éducation.
hayon modulaire
DTrack est décrit comme une porte dérobée modulaire. Vous pouvez enregistrer les frappes au clavier, prendre des captures d'écran, filtrer l'historique du navigateur, afficher les processus en cours d'exécution et obtenir des informations de connexion au réseau.
Il peut également exécuter différentes commandes sur l'appareil cible, télécharger des logiciels malveillants supplémentaires et exfiltrer des données.
Après la mise à jour, DTrack utilise désormais des API hachées pour charger des bibliothèques et des fonctions, au lieu de chaînes masquées, et n'utilise que trois serveurs de commande et de contrôle (C2), contre six auparavant.
Certains des serveurs C2 découverts par Kaspersky comme étant utilisés par la porte dérobée sont « pinkgoatcom », « aguapuratokiocom », « oso moradocom » et « salmonrabbitcom ».
Il a également découvert que DTrack distribue des logiciels malveillants étiquetés avec des noms de fichiers généralement associés à des exécutables légitimes.
Dans un cas, aurait-on dit, la porte dérobée était cachée derrière "NvContainer.exe", un fichier exécutable habituellement distribué par NVIDIA. Le groupe utiliserait des informations d'identification volées pour se connecter aux réseaux cibles ou exploiterait des serveurs exposés à Internet pour installer des logiciels malveillants.