O DTrack, um backdoor usado pelo grupo Lazarus (supostamente norte-coreano) continua em uso três anos após sua descoberta em 2019, e está atacando organizações principalmente na América latina e Europa. Ele é usado contra uma ampla variedade de alvos segundo relatório da Kaspersky Labs assinado por Konstantin Zykov e Jornt Van Der Wiel. O malware já foi detectado na invasão de caixas eletrônicos, em ataques a uma usina nuclear e também em ataques direcionados de ransomware.
Veja isso
Kaspersky corrige falha de gravidade 7.8 em sua VPN
Loja da dark web distribui 1,2 milhão de cartões gratuitamente
Os pesquisadores observam que os ataques são feitos contra qualquer alvo no qual o grupo Lazarus acredita que pode obter algum ganho financeiro.
O DTrack permite que os criminosos carreguem, baixem, executem ou excluam arquivos no host da vítima. Entre os arquivos baixados e executados já identificados no conjunto de ferramentas padrão do DTrack, há um keylogger, um criador de capturas de tela e um módulo para coletar informações do sistema da vítima. Com um conjunto de ferramentas como esse, os criminosos podem implementar movimentos laterais na infraestrutura das vítimas para, por exemplo, recuperar informações comprometedoras.
O DTrack em si não mudou muito ao longo do tempo. No entanto, existem algumas modificações interessantes que são destacadas no relatório. O Dtrack se esconde dentro de um executável que se parece com um programa legítimo, e há vários estágios de descriptografia antes que a carga útil do malware seja iniciada.
O relatório completo sobre o malware pode ser solicitado pelo email [email protected].