El infame colectivo de piratas informáticos de Corea del Norte, Lazarus Group, está utilizando una versión actualizada de su puerta trasera DTrack para apuntar a empresas en Europa y América Latina. El grupo busca dinero, dicen los investigadores de Kaspersky, ya que la campaña está impulsada únicamente por las ganancias.
BleepingEquipo (se abre en una pestaña nueva) ha informado que los actores de amenazas están utilizando el DTrack actualizado para apuntar a empresas en Alemania, Brasil, India, Italia, México, Suiza, Arabia Saudita, Turquía y los Estados Unidos.
Las empresas bajo fuego incluyen centros de investigación gubernamentales, institutos de políticas, fabricantes de productos químicos, proveedores de servicios de TI, proveedores de telecomunicaciones, proveedores de servicios públicos y empresas de educación.
Puerta trasera modular
DTrack se describe como una puerta trasera modular. Puede registrar pulsaciones de teclas, tomar capturas de pantalla, filtrar el historial del navegador, ver procesos en ejecución y obtener información de conexión de red.
También puede ejecutar diferentes comandos en el punto final de destino, descargar malware adicional y filtrar datos.
Después de la actualización, DTrack ahora usa API hash para cargar bibliotecas y funciones, en lugar de cadenas ofuscadas, y ahora usa solo tres servidores de comando y control (C2), en comparación con los seis anteriores.
Algunos de los servidores C2 que Kaspersky descubrió como utilizados por la puerta trasera son «pinkgoat[.]com”, “aguapuratokio[.]com”, “oso púrpura[.]com” y “salmonrabbit[.]com.”
También descubrió que DTrack distribuye malware etiquetado con nombres de archivo generalmente asociados con ejecutables legítimos.
En un caso, se dijo, la puerta trasera se escondía detrás de “NvContainer.exe”, un archivo ejecutable que generalmente distribuye NVIDIA. El grupo usaría credenciales robadas para iniciar sesión en las redes de destino o explotaría los servidores expuestos a Internet para instalar el malware.