El grupo APT Lazarus, conocido por muchos ataques, también está utilizando un nuevo malware de puerta trasera contra objetivos en Europa. Según los investigadores de ESET, los usos previstos son el espionaje y la manipulación de datos.
Los investigadores de malware del fabricante de seguridad de TI ESET han descubierto un nuevo malware peligroso del notorio grupo APT Lazarus (Advanced Persistent Threat). La mayor incidencia en Corea del Sur, el código y el comportamiento de la puerta trasera "WinorDLL64" sugieren que se trata de la banda de hackers aliada con Corea del Norte. Sin embargo, la puerta trasera también se usa para ataques dirigidos en el Medio Oriente y Europa. Se han realizado detecciones más recientes de WinorDLL64 en las instalaciones de investigación de ESET en la República Checa.
Exfiltración y destrucción de datos
El código malicioso puede filtrar, sobrescribir y eliminar archivos, ejecutar comandos y recopilar información extensa sobre el sistema subyacente. WinorDLL64 es uno de los componentes del ominoso Wslink Downloader. “WSLINK es un llamado cargador para archivos binarios de Windows que, a diferencia de otros cargadores similares, se ejecuta como un servidor y ejecuta los módulos recibidos en la memoria.
Como sugiere la redacción, un cargador sirve como una herramienta para cargar una carga útil o el malware real en el sistema ya comprometido”, explica el investigador de ESET Vladislav Hrčka. “El payload puede ser utilizado posteriormente para movimientos laterales en la red atacada, ya que tiene especial interés en las sesiones de red. Al hacerlo, Wslink escucha en un puerto especificado en la configuración y puede servir a clientes de conexión adicionales e incluso cargar diferentes cargas útiles”, agrega.
Acerca de APT Grupo Lázaro
El infame grupo aliado de Corea del Norte ha estado activo desde al menos 2009 y es responsable de muchos incidentes, algunos espectaculares, como el hack de Sony Pictures Entertainment, las decenas de millones de dólares en robos cibernéticos en 2016, el WannaCryptor (también conocido como WannaCry ) en 2017 y una larga serie de ataques a la infraestructura pública y crítica de Corea del Sur desde al menos 2011. US-CERT y el FBI se refieren a este grupo como HIDDEN COBRA.
Más en ESET.com
Acerca de ESET ESET es una empresa europea con sede en Bratislava (Eslovaquia). Desde 1987, ESET ha estado desarrollando un software de seguridad galardonado que ya ha ayudado a más de 100 millones de usuarios a disfrutar de tecnologías seguras. La amplia cartera de productos de seguridad cubre todas las plataformas principales y ofrece a empresas y consumidores de todo el mundo el equilibrio perfecto entre rendimiento y protección proactiva. La empresa tiene una red de ventas global en más de 180 países y oficinas en Jena, San Diego, Singapur y Buenos Aires. Para obtener más información, visite www.eset.de o síganos en LinkedIn, Facebook y Twitter.