Des pirates nord-coréens piratent les guichets automatiques indiens avec un nouveau logiciel malveillant

Des pirates informatiques associés au gouvernement nord-coréen ont développé un nouveau type de malware utilisé pour enregistrer et voler les données insérées dans les cartes des distributeurs automatiques indiens.

Les chercheurs de Kaspersky Lab ont déclaré dans un rapport publié hier que le malware bancaire, connu sous le nom d'ATMDTrack, était actif dans le pays depuis la fin de l'été.

La société de sécurité réseau de Moscou a procédé à une analyse plus approfondie des échantillons de logiciels malveillants et a découvert qu'ils faisaient partie d'un cheval de Troie d'accès à distance (RAT) plus vaste appelé DTrack.

Les experts affirment qu'il s'agit d'un outil d'espionnage qui attaque les institutions financières et les centres de recherche indiens, affirmant que la souche du malware « présente des similitudes avec les activités de DarkSeoul, remontant à 2013, en raison du groupe Lazarus ».

Les chercheurs ont déclaré que le DTrack RAT n’avait été découvert que ce mois-ci.

L'attaque de DarkSeoul vise des installations de premier plan en Corée, notamment la suppression de plusieurs disques durs d'ordinateurs associés à des banques, des chaînes de télévision et plusieurs sociétés financières en 2013.

L’événement a finalement été considéré comme l’œuvre du groupe Lazarus, le principal groupe de hackers de cryptomonnaie connu pour ses relations avec le gouvernement nord-coréen.

L'organisation était connue la semaine dernière pour ses attaques notoires contre des infrastructures critiques et le siphonnage d'entreprises qui finançaient les programmes d'armes et de missiles du pays, et figurait parmi les principales listes de sanctions américaines.

Collectez les journaux de clés et l'historique du navigateur. L'acteur malveillant derrière DTrack confond son code malveillant dans un exécutable inoffensif protégé derrière la barrière de cryptage du compte-gouttes utilisé pour installer le malware.

En plus de se déguiser en processus inoffensif, le malware peut effectuer de nombreuses opérations :

• Keylogger
• Récupérer l'historique du navigateur
• Collectez les adresses IP des hôtes, des informations sur les réseaux disponibles et les connexions actives
• Répertorier tous les processus en cours
• Répertorier tous les fichiers sur tous les volumes de disque disponibles

Les données collectées sont ensuite archivées sous forme de fichier protégé par mot de passe qui peut être enregistré sur le disque ou envoyé au serveur de commande et de contrôle.

Les chercheurs ont classé ATMDTrack comme un sous-ensemble de la famille DTrack, affirmant que les développeurs derrière les deux malwares constituent « le même groupe ».

Compte tenu de la complexité de la méthode de fonctionnement, il est recommandé à l'organisation cible de renforcer ses politiques de réseau et de mots de passe et de surveiller le trafic réseau pour détecter tout comportement suspect.

Kaspersky a conclu : « Le grand nombre d'échantillons DTrack que nous pouvons trouver indique que le groupe Lazarus est l'un des groupes APT les plus actifs en matière de développement de logiciels malveillants. » « Et encore une fois, nous avons vu l'équipe utiliser des outils similaires pour des attaques à motivation économique et des attaques d'espionnage pur.