El infame colectivo de piratas informáticos de Corea del Norte, Lazarus Group, está utilizando una versión actualizada de su puerta trasera DTrack para apuntar a empresas en Europa y América Latina. El grupo tiene problemas de liquidez, dicen los investigadores de Kaspersky, porque la campaña es puramente lucrativa.
BleepingComputer (se abre en una pestaña nueva) informó que los actores de amenazas están utilizando el DTrack actualizado para atacar empresas en Alemania, Brasil, India, Italia, México, Suiza, Arabia Saudita, Turquía y Estados Unidos.
Las empresas bajo fuego incluyen centros de investigación gubernamentales, institutos de políticas, fabricantes de productos químicos, proveedores de servicios de TI, proveedores de telecomunicaciones, proveedores de servicios públicos y empresas de educación.
Puerta trasera modular
DTrack se describe como una puerta trasera modular. Puede registrar pulsaciones de teclas, tomar capturas de pantalla, filtrar el historial del navegador, ver procesos en ejecución y obtener información de inicio de sesión en la red.
También puede ejecutar diferentes comandos en el dispositivo de destino, descargar malware adicional y filtrar datos.
Después de la actualización, DTrack ahora usa API hash para cargar bibliotecas y funciones, en lugar de cadenas ofuscadas, y solo usa tres servidores de comando y control (C2), en comparación con los seis anteriores.
Algunos de los servidores C2 descubiertos por Kaspersky para ser utilizados por la puerta trasera son "pinkgoatcom", "aguapuratokiocom”, “oso moradocom" y "salmonrabbitcom.”
También descubrió que DTrack distribuye malware etiquetado con nombres de archivo generalmente asociados con ejecutables legítimos.
En un caso, se dijo, la puerta trasera se escondía detrás de "NvContainer.exe", un archivo ejecutable que generalmente distribuye NVIDIA. El grupo usaría credenciales robadas para conectarse a redes de destino o explotar servidores expuestos a Internet para instalar el malware.