NL 
EN 
DE 
FR 
IT 
TR 
AR 
MS 
Hackers die banden hebben met de Noord-Koreaanse regering hebben een nieuw type malware ontwikkeld dat is gebruikt om gegevens op te nemen en te stelen die op kaarten van Indiase geldautomaten zijn geplaatst.
Onderzoekers van Kaspersky Lab zeiden in een gisteren vrijgegeven rapport dat bankmalware, bekend als ATMDTrack, sinds de late zomer actief is in het land.
Het netwerkbeveiligingsbedrijf in Moskou voerde verdere analyse uit van de malware-samples en ontdekte dat ze deel uitmaakten van een grotere Remote Access Trojan (RAT) genaamd DTrack.
Experts zeggen dat dit een spionagetool is die Indiase financiële instellingen en onderzoekscentra aanvalt, en zegt dat de malware-stam "overeenkomsten heeft met de activiteiten van DarkSeoul, die teruggaan tot 2013, als gevolg van de Lazarus Group."
De onderzoekers zeiden dat de DTrack RAT pas deze maand voor het eerst werd ontdekt.
De DarkSeoul-aanval is gericht op de spraakmakende faciliteiten van Korea, waaronder het verwijderen van verschillende harde schijven van computers die verband houden met banken, televisieomroepen en verschillende financiële bedrijven in 2013.
Het evenement werd uiteindelijk beschouwd als het werk van de Lazarus Group, de toonaangevende cryptocurrency-hackergroep die bekend staat om zijn relatie met de Noord-Koreaanse overheid.
De organisatie was vorige week berucht vanwege haar beruchte aanvallen op kritieke infrastructuur en het overhevelen van bedrijven die de wapen- en raketprogramma's van het land financierden, en stond op de top van de Amerikaanse sanctielijsten.
Verzamel sleutellogboeken en browsergeschiedenis De dreigingsactor achter DTrack verwart zijn kwaadaardige code in een onschadelijk uitvoerbaar bestand dat wordt beschermd achter de coderingsbarrière van de dropper die wordt gebruikt om de malware te installeren.
Naast het vermommen van uzelf als een onschadelijk proces, kan de malware vele bewerkingen uitvoeren:
- Keylogger
- Browsergeschiedenis ophalen
- Verzamel host-IP-adressen, informatie over beschikbare netwerken en actieve verbindingen
- Lijst van alle lopende processen
- Lijst van alle bestanden op alle beschikbare schijfvolumes
De verzamelde gegevens worden vervolgens gearchiveerd als een met een wachtwoord beveiligd bestand dat op schijf kan worden opgeslagen of naar de command and control-server kan worden verzonden.
Onderzoekers hebben ATMDTrack geclassificeerd als een subset van de DTrack-familie en zeggen dat de ontwikkelaars achter de twee malware "dezelfde groep" zijn.
Gezien de complexiteit van de werkwijze wordt aanbevolen dat de doelorganisatie haar netwerk- en wachtwoordbeleid versterkt en het netwerkverkeer controleert op verdacht gedrag.
Kaspersky concludeerde: "Het grote aantal DTrack-samples dat we kunnen vinden, geeft aan dat de Lazarus-groep een van de meest actieve APT-groepen is voor de ontwikkeling van malware." “En nogmaals, we zagen dat het team vergelijkbare tools gebruikte voor economisch gemotiveerde aanvallen en pure spionageaanvallen
