Geral 2min de Leitura - 29 de novembro de 2022

Grupo Lazarus está usando malware DTrack em suas operações

grupo lazarus dtrack

This post is also available in: Português Español

O Lazarus Group, um grupo de cibercriminosos norte-coreano, está utilizando o malware DTrack como um ativo importante em suas operações contra uma ampla variedade de alvos.

Descoberto em 2019, o DTrack continua em uso após três anos, e recentemente, pesquisadores descobriram uma nova variante modificada do malware, que está sendo utilizada para atacar organizações na Europa e na América do Sul.

O que é o DTrack?

O DTrack é um malware capaz de registrar pressionamentos de tecla, realizar capturas de tela, coletar histórico de navegação, roubar arquivos, injetar cargas adicionais e muito mais. Os cibercriminosos podem utilizá-lo para roubar várias informações confidenciais, infectar computadores com outro malware e para outros fins.

Com o recurso de registrar as teclas digitadas, os cibercriminosos podem roubar todos os dados digitados a partir do teclado. Eles também podem recuperar histórico de navegação e observar processos em execução, endereço IP e informações de conexão de rede.

O DTrack permite que os invasores carreguem, baixem, iniciem ou excluam arquivos no dispositivo da vítima. Segundo os pesquisadores da Kaspersky, o kit do malware conta com um Keylogger, um criador de capturas de tela e um módulo para coletar informações do sistema infectado.

Com um conjunto de ferramentas como esse, os cibercriminosos podem implementar movimentos laterais na infraestrutura das vítimas para capturar informações e trazer danos para os alvos.

Além disso, os dispositivos infectados com DTrack podem ser infectados com outro malware, como, por exemplo, ransomware, mineradores de criptomoeda ou Trojans.

O que há de novo?

De acordo com os pesquisadores da Kaspersky, a variante mais recente do DTrack não apresenta muitas alterações funcionais ou de código em comparação com as amostras analisadas no passado.

Nesta campanha, o DTrack se esconde dentro de arquivos executáveis de aparência legítima, como é o caso do NvContainer.exe, que se passa por um arquivo legítimo da NVIDIA.

A variante mais recente usa hash de API para carregar suas bibliotecas e funções. Nesta variante o número de servidores C2 também foi reduzido pela metade, para apenas três. O restante das funcionalidades da carga útil é igual às variantes anteriores.

Etapas de descriptografia

Existem vários estágios de descriptografia antes do início da carga útil do malware.

dtrack
Fonte: Kaspersky.

No primeiro estágio, o DTrack usa sua função de recuperação baseada em descolamento.

O segundo estágio é armazenado dentro do arquivo PE do malware e consiste em um shellcode, altamente ofuscado, com diferentes métodos de criptografia e versões modificadas dos algoritmos RC4, RC5 e RC6.

dtrack
Fonte: Kaspersky.

A carga útil do terceiro estágio pode ou não ser a carga útil final (uma DLL), que é descriptografada ou pode conter ainda outra parte de dados que consistem em uma configuração binária e pelo menos um shellcode, que, por sua vez, ser descriptografa e executa a carga útil final.

Alvos de ataque

O DTrack continua a ser instalado violando redes usando credenciais roubadas ou explorando servidores expostos na Internet. Porém, agora é implantado de maneira muito mais ampla.

O Lazarus Group tem como alvo organizações na Alemanha, Brasil, Índia, Itália, México, Suíça, Arábia Saudita, Turquia e Estados Unidos em suas operações expandidas.

Os principais alvos são setores proeminentes de ganhos financeiros que incluem centros de pesquisa do governo, instituto de políticas, fabricantes de produtos químicos, provedores de serviços de TI, provedores de telecomunicações, provedores de serviços públicos e educação.

O Lazarus lançou inúmeras campanhas ao longo dos anos. Um grupo como o Lazarus pode causar muito mais danos com o malware DTrack, e, por conta disso, é recomendado que as organizações usem soluções de segurança multicamadas para obter proteção em tempo real contra ataques direcionados.

Fonte: Securelist, BleepingComputer.

This post is also available in: Português Español