O grupo APT Lazarus, conhecido por muitos ataques, também está usando um novo malware backdoor contra alvos na Europa. De acordo com os pesquisadores da ESET, os usos pretendidos são espionagem e manipulação de dados.
Os pesquisadores de malware do fabricante de segurança de TI ESET descobriram um novo malware perigoso do notório grupo APT Lazarus (Advanced Persistent Threat). O aumento da ocorrência na Coreia do Sul, o código e o comportamento do backdoor "WinorDLL64" sugerem que se trata da gangue de hackers aliada da Coreia do Norte. No entanto, o backdoor também é usado para ataques direcionados no Oriente Médio e na Europa. Detecções mais recentes do WinorDLL64 foram feitas nas instalações de pesquisa da ESET na República Tcheca.
Exfiltração e destruição de dados
O código malicioso pode exfiltrar, sobrescrever e remover arquivos, executar comandos e coletar informações extensas sobre o sistema subjacente. WinorDLL64 é um dos componentes do sinistro Wslink Downloader. “WSLINK é o chamado carregador para binários do Windows, que, ao contrário de outros carregadores, funciona como um servidor e executa os módulos recebidos na memória.
Como o texto sugere, um carregador serve como uma ferramenta para carregar uma carga útil ou o malware real no sistema já comprometido”, explica o pesquisador da ESET Vladislav Hrčka. “O payload pode posteriormente ser utilizado para movimentos laterais na rede atacada, pois tem um interesse especial nas sessões de rede. Ao fazer isso, o Wslink escuta em uma porta especificada na configuração e pode atender clientes de conexão adicionais e até mesmo carregar cargas diferentes”, acrescenta.
Sobre o Grupo APT Lázaro
O infame grupo aliado norte-coreano está ativo desde pelo menos 2009 e é responsável por muitos incidentes, alguns espetaculares, como o hack da Sony Pictures Entertainment, as dezenas de milhões de dólares em roubos cibernéticos em 2016, o WannaCryptor (também conhecido como WannaCry ) em 2017 e uma longa série de ataques à infraestrutura pública e crítica da Coreia do Sul desde pelo menos 2011. O US-CERT e o FBI referem-se a esse grupo como HIDDEN COBRA.
Mais em ESET.com
Sobre ESET A ESET é uma empresa europeia com sede em Bratislava (Eslováquia). Desde 1987, a ESET vem desenvolvendo software de segurança premiado que já ajudou mais de 100 milhões de usuários a desfrutar de tecnologias seguras. O amplo portfólio de produtos de segurança abrange todas as principais plataformas e oferece a empresas e consumidores em todo o mundo o equilíbrio perfeito entre desempenho e proteção proativa. A empresa possui uma rede global de vendas em mais de 180 países e escritórios em Jena, San Diego, Cingapura e Buenos Aires. Para mais informações, visite www.eset.de ou siga-nos no LinkedIn, Facebook e Twitter.