Kuzey Kore hükümetiyle bağlantılı bilgisayar korsanları, Hindistan ATM'lerindeki kartlara eklenen verileri kaydetmek ve çalmak için kullanılan yeni bir kötü amaçlı yazılım türü geliştirdi.
Kaspersky Lab araştırmacıları dün yayınlanan bir raporda, ATMDTrack olarak bilinen bankacılık kötü amaçlı yazılımlarının ülkede yaz sonundan bu yana aktif olduğunu söyledi.
Moskova'daki ağ güvenliği şirketi, kötü amaçlı yazılım örnekleri üzerinde daha ayrıntılı bir analiz gerçekleştirdi ve bunların DTrack adı verilen daha büyük bir uzaktan erişim Truva Atı'nın (RAT) parçası olduğunu buldu.
Uzmanlar, bunun Hint finans kurumlarına ve araştırma merkezlerine saldıran bir casus aracı olduğunu söylüyor ve kötü amaçlı yazılım türünün "DarkSeoul'un Lazarus Grubu nedeniyle 2013'e kadar uzanan faaliyetleriyle benzerlikler taşıdığını" söylüyor.
Araştırmacılar, DTrack RAT'ın ilk kez bu ay keşfedildiğini söyledi.
DarkSeoul saldırısı Kore'nin yüksek profilli tesislerine yönelik olup, 2013 yılında bankalar, televizyon yayıncıları ve çeşitli finansal şirketlerle ilişkili birçok bilgisayar sabit diskinin kaldırılması da dahil.
Etkinliğin, Kuzey Kore hükümetiyle olan ilişkileriyle bilinen önde gelen kripto para hacker grubu Lazarus Grubu'nun işi olduğu düşünüldü.
Örgüt, geçtiğimiz hafta kritik altyapılara yönelik kötü şöhretli saldırıları ve ülkenin silah ve füze programlarını finanse eden şirketlerini hortumlaması nedeniyle kötü bir şöhrete sahip oldu ve ABD'nin yaptırım listelerinin başında yer aldı.
Anahtar günlüklerini ve tarayıcı geçmişini toplayın DTrack'in arkasındaki tehdit aktörü, kötü amaçlı kodunu, kötü amaçlı yazılımı yüklemek için kullanılan damlalığın şifreleme bariyerinin arkasında korunan zararsız bir yürütülebilir dosyada karıştırır.
Kötü amaçlı yazılım, kendinizi zararsız bir süreç gibi göstermenin yanı sıra birçok işlemi de gerçekleştirebilir:
- Keylogger
- Tarayıcı geçmişini al
- Ana bilgisayar IP adreslerini, mevcut ağlar ve aktif bağlantılarla ilgili bilgileri toplayın
- Çalışan tüm işlemleri listele
- Kullanılabilir tüm disk birimlerindeki tüm dosyaları listeleyin
Toplanan veriler daha sonra parola korumalı bir dosya olarak arşivlenir ve diske kaydedilebilir veya komuta ve kontrol sunucusuna gönderilebilir.
Araştırmacılar, ATMDTrack'i DTrack ailesinin bir alt kümesi olarak sınıflandırdı ve iki kötü amaçlı yazılımın arkasındaki geliştiricilerin "aynı grup" olduğunu söyledi.
Operasyon yönteminin karmaşıklığı göz önüne alındığında, hedef kuruluşun ağ ve parola politikalarını güçlendirmesi ve ağ trafiğini şüpheli davranışlara karşı izlemesi önerilir.
Kaspersky şu sonuca vardı: "Bulabildiğimiz çok sayıda DTrack örneği, Lazarus grubunun kötü amaçlı yazılım geliştirme konusunda en aktif APT gruplarından biri olduğunu gösteriyor." "Ve yine ekibin ekonomik amaçlı saldırılar ve saf casus saldırıları için benzer araçlar kullandığını gördük