Os hackers da Coreia do Norte estão de olho em nós? O que sabemos até agora

A internet pode ser um vasto mar, mas não resta dúvidas de que para atravessá-lo de um lado do mundo ao outro, basta alguns segundos. Hackers do governo norte-coreano foram observados visando diversas organizações no Brasil, Alemanha, México, Estados Unidos, Suíça, Índia, Itália, Arábia Saudita e Turquia, mas o que eles querem? 

Hackers da Coreia do Norte – Imagem: Reprodução/Freepik 

Cuidado! Os hackers estão por aí!

Estes hackers da Coreia do Norte estão usando um backdoor que leva o nome “Dtrack”, mas isso não é tudo, pois eles apareceram com uma versão atualizada e mais potente do que a já conhecida. Konstantin Zykov e Jornt van der Wiel, pesquisadores da Kaspersky disseram que:

“O Dtrack permite que os criminosos carreguem, baixem, iniciem ou excluam arquivos no host da vítima”.

Após um estudo dos padrões das vítimas, os agentes de defesa notaram uma expansão dos ataques norte-coreanos para a Europa e América Latina.

Até o momento, entre os setores na mira dos hackers estão provedores de serviços de TI, de serviços públicos e empresas de telecomunicações. Eles também visaram o campo da educação, institutos políticos, centros de pesquisa, e fabricação de produtos químicos.

Entenda como o Dtrack age e pode ser perigoso

Dtrack, “Prefit” ou “Valefor” é uma obra de Andariel, subgrupo que trabalha com o temido conjunto de hackers, Lazarus. Entre os apelidos populares que receberam da comunidade de segurança cibernética estão: Operation Troy, Silent hollima e Stonefly, como aponta o The Hacker News.

A descoberta do Dtrack se deu em setembro de 2019, o malware foi a base para um ataque cibernético direcionado à usina nuclear na Índia. Em ataques atuais, ele ajudou nas operações do ransomware Maui.

As últimas alterações que a Kaspersky observou referem-se a como o Dtrack dificulta a sua localização, principalmente se escondendo em aplicativos que parecem legítimos (“NvContainer.exe” ou “XColorHexagonCtrlTest.exe”).

Além disso, ele usa três camadas de criptografia e ofuscação, aumentando a sua camuflagem. Os pesquisadores citados anteriormente também ressaltaram:

“O backdoor Dtrack continua a ser usado ativamente pelo grupo Lazarus. Modificações na forma como o malware é compactado mostram que o Lazarus ainda vê o Dtrack como um ativo importante”.

Depois que a vítima tem contato com a carga final descriptografada, ela se injeta no processo Windows File Explorer (“explorer.exe”) por meio de uma técnica, a process hollowing. Entre os principais módulos baixados por meio do Dtrack, está um keylogger. E para garantir a espionagem, há também ferramentas que capturam a tela e armazenam dados do sistema.

Com informação: The Hacker News

O que você achou? Siga @bitmagazineoficial no Instagram para ver mais e deixar seu comentário clicando aqui

Escrito por

Moyses Batista