O famoso grupo hacker norte-coreano Lazarus está usando um novo módulo do malware, chamado Anchor, para operações de roubo cibernético e roubo de cartões em terminais ponto de venda
O famoso grupo hacker norte-coreano Lazarus está alugando a botnet criada pelo malware TrickBot, bem como o acesso a uma estrutura maliciosa altamente personalizada, para roubar dados, segundo um novo relatório do SentinelLabs. O grupo usa um novo módulo do TrickBot, chamado Anchor, que nada mais é que uma estrutura de ferramentas projetadas “para extração direcionada de dados de ambientes seguros e com persistência de longo prazo”, de acordo com o relatório.
O Anchor inclui raspadores de memória, malware de PoS (terminal ponto de venda), instaladores e submódulos de backdoor (porta dos fundos), permitindo movimentação lateral, entre outros recursos. “O Anchor combina uma coleção de ferramentas — desde ferramenta de instalação inicial à limpeza — para eliminar a existência de malware na máquina vítima. Em outras palavras, o módulo se apresenta como uma estrutura de ataque tudo-em-um projetada para comprometer os ambientes corporativos usando ferramentas personalizadas e existentes “, diz o documento elaborado pela equipe do SentinelLabs
O Anchor também é usado para operações de roubo cibernético e roubo de cartões em terminais ponto de venda, alavancando o malware personalizado de raspagem de cartões. Entre os grupos de estados-nação, apenas alguns estão interessados na coleta de dados e no ganho financeiro, e um deles é o Lazarus. Vinculando os dois grupos está o backdoor do PowerRatankba PowerShell, anteriormente associado ao Lazarus, mas que na verdade faz parte do Anchor.
O Lazarus não é o único que usa o módulo Anchor do TrickBot. Ele também está sendo usado em uma “onda de campanhas direcionadas contra empresas financeiras, de manufatura e varejo” projetadas para roubar dados de cartões de PoS e outros sistemas, de acordo com a Cybereason.
O TrickBot é uma das botnets mais bem-sucedidas já criadas, usado em uma variedade de ataques, desde trojans bancários a ransomware e roubo de dados. A empresa de inteligência sobre ameaças Blueliv revelou na semana passada que detectou um aumento de 283% nas detecções da rede de bots no segundo trimestre deste ano. Com agências de notícias internacionais.
