Hacker, die mit der nordkoreanischen Regierung in Verbindung stehen, haben eine neue Art von Malware entwickelt, mit der in Karten von indischen Geldautomaten eingegebene Daten aufgezeichnet und gestohlen werden können.
Forscher von Kaspersky Lab sagten in einem gestern veröffentlichten Bericht, dass Banking-Malware, bekannt als ATMDTrack, seit Spätsommer im Land aktiv sei.
Das Netzwerksicherheitsunternehmen in Moskau führte eine weitere Analyse der Malware-Beispiele durch und stellte fest, dass sie Teil eines größeren Fernzugriffs-Trojaners (RAT) namens DTrack waren.
Experten sagen, dass es sich hierbei um ein Spionagetool handelt, das indische Finanzinstitute und Forschungszentren angreift, und sagen, dass der Malware-Stamm „Ähnlichkeiten mit den Aktivitäten von DarkSeoul aufweist, die aufgrund der Lazarus-Gruppe bis ins Jahr 2013 zurückreichen.“
Die Forscher sagten, dass die DTrack RAT erst in diesem Monat entdeckt wurde.
Der DarkSeoul-Angriff zielt auf hochkarätige Einrichtungen Koreas ab, darunter die Entfernung mehrerer Computerfestplatten im Zusammenhang mit Banken, Fernsehsendern und mehreren Finanzunternehmen im Jahr 2013.
Letztendlich wurde das Ereignis als das Werk der Lazarus Group angesehen, der führenden Kryptowährungs-Hackergruppe, die für ihre Beziehungen zur nordkoreanischen Regierung bekannt ist.
Die Organisation war letzte Woche für ihre berüchtigten Angriffe auf kritische Infrastrukturen und die Abschöpfung von Unternehmen, die die Waffen- und Raketenprogramme des Landes finanzierten, berüchtigt und stand auf der obersten Sanktionsliste der USA.
Sammeln Sie Schlüsselprotokolle und den Browserverlauf. Der Bedrohungsakteur hinter DTrack verwirrt seinen Schadcode in einer harmlosen ausführbaren Datei, die hinter der Verschlüsselungsbarriere des Droppers geschützt ist, der zur Installation der Malware verwendet wird.
Die Malware tarnt sich nicht nur als harmloser Prozess, sondern kann auch viele andere Vorgänge ausführen:
- Keylogger
- Browserverlauf abrufen
- Sammeln Sie Host-IP-Adressen, Informationen zu verfügbaren Netzwerken und aktiven Verbindungen
- Listen Sie alle laufenden Prozesse auf
- Listen Sie alle Dateien auf allen verfügbaren Datenträgern auf
Die gesammelten Daten werden dann als passwortgeschützte Datei archiviert, die auf der Festplatte gespeichert oder an den Befehls- und Kontrollserver gesendet werden kann.
Forscher haben ATMDTrack als Teilmenge der DTrack-Familie klassifiziert und erklärt, dass die Entwickler hinter den beiden Malwares „die gleiche Gruppe“ seien.
Angesichts der Komplexität der Vorgehensweise wird der Zielorganisation empfohlen, ihre Netzwerk- und Passwortrichtlinien zu stärken und den Netzwerkverkehr auf verdächtiges Verhalten zu überwachen.
Kaspersky kam zu dem Schluss: „Die große Anzahl der DTrack-Beispiele, die wir finden können, weist darauf hin, dass die Lazarus-Gruppe eine der aktivsten APT-Gruppen für die Entwicklung von Malware ist.“ „Und wieder haben wir gesehen, dass das Team ähnliche Tools für wirtschaftlich motivierte Angriffe und reine Spionageangriffe einsetzte