Des chercheurs en cybersécurité ont découvert une nouvelle souche de malware Windows capable de voler des données sensibles à partir de n'importe quel appareil connecté, y compris les téléphones portables, et est apparemment utilisée par des groupes liés au gouvernement nord-coréen.
Les experts d'ESET ont déclaré avoir rencontré un voleur d'informations jusque-là inconnu nommé Dolphin. Dolphin est apparemment utilisé par un acteur menaçant connu sous le nom d'APT 37, ou Erebus, un groupe ayant des liens connus avec le gouvernement nord-coréen. Le groupe, disent les chercheurs, est actif depuis environ une décennie.
Dolphin a été vu pour la première fois en avril 2021, mais est depuis devenu une véritable bête. Aujourd'hui, il est capable de voler des informations sur les navigateurs Web (mots de passe stockés, détails de carte de crédit, etc.), de prendre des captures d'écran des terminaux infectés et d'enregistrer toutes les frappes.
Envoyez tout sur Google Drive
Le logiciel malveillant obtient ses commandes à partir d'une instance de Google Drive et y envoie également toutes les informations collectées.
En plus de tout cela, Dolphin collecte également des informations telles que le nom de votre ordinateur, l'adresse IP locale et externe, les solutions de sécurité installées sur le terminal, les spécifications matérielles et la version du système d'exploitation.
De plus, il analyse tous les disques locaux et amovibles à la recherche de données sensibles (documents, e-mails, photos et vidéos, etc.) ainsi que les smartphones. ESET dit que cela a été rendu possible par l'API Windows Mobile Devices.
Quatre versions différentes du logiciel malveillant ont été détectées jusqu'à présent, la dernière version 3.0 étant sortie en janvier 2022.
La Corée du Nord est relativement active sur la scène de la cybercriminalité, certains grands groupes parrainés par l'État faisant des ravages dans le monde numérique. L'exemple le plus tristement célèbre est peut-être le groupe Lazarus, qui a réussi à voler quelque 600 millions de dollars à la société de crypto-monnaie Ronin Bridge. Les rapports de renseignement suggèrent que le gouvernement nord-coréen emploie des équipes de cybercriminels pour financer ses opérations.
Via : BleepingComputer (Ouvre dans un nouvel onglet)