Ten niewykrywalny zestaw złośliwego oprogramowania obejmuje dużą liczbę

Analitycy cyberbezpieczeństwa odkryli nowy szczep złośliwego oprogramowania dla systemu Windows, który może kraść poufne dane z dowolnego podłączonego urządzenia, w tym telefonów komórkowych, i jest najwyraźniej używany przez grupy powiązane z rządem Korei Północnej.

Eksperci ESET poinformowali, że napotkali nieznanego wcześniej narzędzie do kradzieży informacji o nazwie Dolphin. Najwyraźniej Dolphin jest wykorzystywany przez cyberprzestępcę znanego jako APT 37 lub Erebus, grupę znaną z powiązań z rządem Korei Północnej. Naukowcy twierdzą, że grupa działa od około dekady.

Delfina po raz pierwszy widziano w kwietniu 2021 r., ale od tego czasu wyrósł na prawdziwą bestię. Obecnie jest w stanie wykraść informacje z przeglądarek internetowych (przechowywane hasła, dane kart kredytowych itp.), robić zrzuty ekranu zainfekowanych terminali i rejestrować wszystkie naciśnięcia klawiszy.

Prześlij wszystko na Dysk Google

Złośliwe oprogramowanie otrzymuje polecenia z instancji Dysku Google, a także wysyła tam wszystkie zebrane informacje.

Oprócz tego wszystkiego Dolphin gromadzi również informacje, takie jak nazwa komputera, lokalny i zewnętrzny adres IP, rozwiązania bezpieczeństwa zainstalowane na terminalu, specyfikacje sprzętu i wersja systemu operacyjnego.

Ponadto skanuje wszystkie dyski lokalne i wymienne w poszukiwaniu wrażliwych danych (dokumenty, wiadomości e-mail, zdjęcia i filmy itp.), a także smartfony. ESET twierdzi, że było to możliwe dzięki interfejsowi Windows Mobile Devices API.

Do tej pory wykryto cztery różne wersje tego złośliwego oprogramowania, przy czym najnowsza wersja 3.0 zostanie wydana w styczniu 2022 r.

Korea Północna jest stosunkowo aktywna na scenie cyberprzestępczości, a niektóre duże grupy sponsorowane przez państwo sieją spustoszenie w cyfrowym świecie. Być może najbardziej niesławnym przykładem jest Grupa Lazarus, której udało się ukraść około 600 milionów dolarów od firmy kryptowalutowej Ronin Bridge. Raporty wywiadu sugerują, że rząd Korei Północnej zatrudnia zespoły cyberprzestępców do finansowania swoich operacji.

Przez: BleepingComputer (Otwiera się w nowej karcie)

Udostępnij to