Gli hacker nordcoreani attaccano i bancomat indiani con nuovi malware

Gli hacker associati al governo nordcoreano hanno sviluppato un nuovo tipo di malware che è stato utilizzato per registrare e rubare i dati inseriti nelle carte dai bancomat indiani.

I ricercatori di Kaspersky Lab hanno affermato in un rapporto pubblicato ieri che il malware bancario, noto come ATMDTrack, è attivo nel paese dalla fine dell'estate.

La società di sicurezza di rete di Mosca ha condotto un'ulteriore analisi dei campioni di malware e ha scoperto che facevano parte di un trojan di accesso remoto (RAT) più ampio chiamato DTrack.

Gli esperti affermano che si tratta di uno strumento di spionaggio che attacca le istituzioni finanziarie e i centri di ricerca indiani, affermando che il ceppo di malware "presenta somiglianze con le attività di DarkSeoul, risalenti al 2013, dovute al gruppo Lazarus".

I ricercatori hanno affermato che il DTrack RAT è stato scoperto per la prima volta solo questo mese.

L'attacco di DarkSeoul mira alle strutture di alto profilo della Corea, inclusa la rimozione di diversi dischi rigidi di computer associati a banche ed emittenti televisive e a diverse società finanziarie nel 2013.

Alla fine l'evento è stato considerato opera del Lazarus Group, il principale gruppo di hacker di criptovalute noto per i suoi rapporti con il governo nordcoreano.

L’organizzazione era nota la scorsa settimana per i suoi famigerati attacchi alle infrastrutture critiche e per il furto di aziende che finanziavano i programmi di armi e missili del Paese, ed era tra le prime liste delle sanzioni statunitensi.

Raccogli i registri chiave e la cronologia del browser L'autore della minaccia dietro DTrack confonde il suo codice dannoso in un eseguibile innocuo protetto dietro la barriera di crittografia del dropper utilizzato per installare il malware.

Oltre a mascherarsi da processo innocuo, il malware può eseguire numerose operazioni:

• Keylogger
• Recupera la cronologia del browser
• Raccogli gli indirizzi IP dell'host, informazioni sulle reti disponibili e sulle connessioni attive
• Elenca tutti i processi in esecuzione
• Elenca tutti i file su tutti i volumi disco disponibili

I dati raccolti vengono poi archiviati come file protetto da password che può essere salvato su disco o inviato al server di comando e controllo.

I ricercatori hanno classificato ATMDTrack come un sottoinsieme della famiglia DTrack, affermando che gli sviluppatori dietro i due malware sono "lo stesso gruppo".

Data la complessità del metodo operativo, si consiglia all'organizzazione presa di mira di rafforzare le proprie politiche di rete e password e di monitorare il traffico di rete per individuare comportamenti sospetti.

Kaspersky ha concluso: "Il gran numero di campioni DTrack che possiamo trovare indica che il gruppo Lazarus è uno dei gruppi APT più attivi per lo sviluppo di malware." “E ancora una volta, abbiamo visto il team utilizzare strumenti simili per attacchi motivati ​​​​economicamente e attacchi di pura spionaggio