Gli hacker nordcoreani prendono di mira le organizzazioni europee con un malware aggiornato: DTrack è una backdoor modulare che comprende un keylogger, un catturatore di screenshot, un recuperatore della cronologia del browser, uno snooper dei processi in esecuzione, un ruba-indirizzi IP e informazioni sulla connessione di rete e altro ancora. Oltre a spiare, può anche eseguire comandi per eseguire operazioni sui file, recuperare payload aggiuntivi, rubare file e dati ed eseguire processi sul dispositivo compromesso. La nuova versione del malware non presenta molte modifiche funzionali o di codice rispetto ai campioni analizzati in passato, ma la sua diffusione è ora molto più ampia.
Una distribuzione più ampia
Come spiega Kaspersky in un report pubblicato, la telemetria mostra l’attività di DTrack in Germania, Brasile, India, Italia, Messico, Svizzera, Arabia Saudita, Turchia e Stati Uniti. I settori presi di mira includono centri di ricerca governativi, istituti politici, produttori chimici, fornitori di servizi IT, fornitori di telecomunicazioni, fornitori di servizi di pubblica utilità e istruzione. Nella nuova campagna, Kaspersky ha visto DTrack distribuito utilizzando nomi di file comunemente associati a eseguibili legittimi. Ad esempio, un esempio condiviso è distribuito con il nome di file “NvContainer.exe”, che è lo stesso nome di un file NVIDIA legittimo.
Kaspersky ha dichiarato a BleepingComputer che DTrack continua a essere installato attraverso la violazione delle reti utilizzando credenziali rubate o sfruttando server esposti a Internet, come già visto nelle campagne precedenti. Una volta lanciato, il malware passa attraverso molteplici passaggi di decriptazione prima che il suo payload finale venga caricato tramite process hollowing in un processo “explorer.exe”, in esecuzione direttamente dalla memoria. Le uniche differenze rispetto alle precedenti varianti di DTrack sono che ora utilizza l’hashing delle API per caricare librerie e funzioni invece di stringhe offuscate e che il numero di server C2 è stato dimezzato a soli tre. Alcuni dei server C2 scoperti da Kaspersky sono “pinkgoat[.]com”, “purewatertokyo[.]com”, “purplebear[.]com” e “salmonrabbit[.]com”.
Attribuzione DTrack
Kaspersky attribuisce questa attività al gruppo di hacker nordcoreano Lazarus e sostiene che gli attori delle minacce utilizzano DTrack ogni volta che vedono il potenziale di guadagno finanziario. Nell’agosto del 2022, gli stessi ricercatori hanno collegato la backdoor al gruppo di hacker nordcoreano identificato come “Andariel”, che ha distribuito il ransomware Maui nelle reti aziendali negli Stati Uniti e in Corea del Sud. Nel febbraio 2020, Dragos ha collegato DTrack a un gruppo di minaccia nordcoreano, “Wassonite”, che ha attaccato strutture per l’energia nucleare e il petrolio e il gas.
