I ricercatori di ESET hanno scoperto la nuova backdoor Dolphin usata dal gruppo nordcoreano ScarCruft durante le recenti attività di cyberspionaggio. Il malware, aggiornato più volte negli ultimi mesi, permette di rubare numerosi dati dal computer delle vittime e i file dallo smartphone collegato. I principali bersagli sono organizzazioni militari, agenzie governative e aziende della Corea del Sud.
BLUELIGHT e Dolphin: coppia pericolosa
Il gruppo ScarCruft ha effettuato un attacco nel 2021 utilizzando vari componenti, tra cui un exploit per Internet Explorer e la backdoor BLUELIGHT. Quest’ultima era il payload finale e offriva funzionalità base, ma è stata sfruttata per distribuire una seconda backdoor più sofisticata, ovvero Dolphin.
L’installer scarica da OneDrive un file CAB che contiene l’interprete Python. Successivamente viene lanciato il loader di Dolphin che carica in memoria il malware. La backdoor è scritta in linguaggio C++ e comunica con il servizio Google Drive, usato come server C2C (command and control).
Dopo aver creato una chiave nel registro per la persistenza (avvio automatico), Dolphin inizia l’attività di spionaggio, raccogliendo diverse informazioni sul computer, tra cui nome utente, indirizzo IP, versione di Windows e lista degli antivirus installati. Cerca quindi specifici file su hard disk e unità rimovibili (USB), in particolare email e documenti Word, che vengono inviati al server remoto.
Le versioni più recenti possono esfiltrare i file anche dagli smartphone collegati al computer, catturare screenshot, registrare i tasti premuti (keylogging), rubare le password dai browser e i dati da Google Drive. Dolphin modifica inoltre le impostazioni di sicurezza dell’account Google che verrà quindi controllato dai cybercriminali.
Ti potrebbe interessare
1 dic 2022