Los investigadores de ciberseguridad han descubierto una nueva variedad de malware para Windows que es capaz de robar datos confidenciales de cualquier dispositivo conectado, incluidos los teléfonos móviles, y aparentemente está siendo utilizado por grupos relacionados con el gobierno de Corea del Norte.
Los expertos de ESET dijeron que se toparon con un ladrón de información previamente desconocido llamado Dolphin. Aparentemente, Dolphin está siendo utilizado por un actor de amenazas conocido como APT 37, o Erebus, un grupo con vínculos conocidos con el gobierno de Corea del Norte. El grupo, dicen los investigadores, ha estado activo durante aproximadamente una década.
Dolphin fue visto por primera vez en abril de 2021, pero desde entonces se ha convertido en una bestia. Hoy en día, es capaz de robar información de los navegadores web (contraseñas almacenadas, datos de tarjetas de crédito, etc.), tomar capturas de pantalla de los puntos finales infectados y registrar todas las pulsaciones de teclas.
Envío de todo a Google Drive
El malware obtiene sus comandos de una instancia de Google Drive y también envía toda la inteligencia recopilada allí.
Además de todo esto, Dolphin también recopila información como el nombre de su computadora, la dirección IP local y externa, las soluciones de seguridad instaladas en el terminal, las especificaciones del hardware y la versión del sistema operativo.
Además, escanea todas las unidades locales y extraíbles en busca de datos confidenciales (documentos, correos electrónicos, fotos y videos, etc.), así como teléfonos inteligentes. ESET dice que esto fue posible gracias a la API de dispositivos portátiles de Windows.
Hasta el momento, se detectaron cuatro versiones diferentes del malware, y la última, la versión 3.0, se lanzó en enero de 2022.
Corea del Norte es relativamente activa en la escena del delito cibernético, con un par de importantes grupos patrocinados por el estado causando estragos en todo el mundo digital. Quizás el ejemplo más infame es Lazarus Group, que logró robar unos 600 millones de dólares de la empresa de criptomonedas Ronin Bridge. Los informes de inteligencia sugieren que el gobierno de Corea del Norte está empleando equipos de ciberdelincuentes para financiar sus operaciones.
Vía: BleepingComputer (se abre en una pestaña nueva)