Nuevo malware para Windows, Dolphin

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los investigadores de seguridad encontraron una puerta trasera (backdoor) previamente desconocida a la que llaman Dolphin que ha sido utilizada por piratas informáticos de Corea del Norte en operaciones altamente específicas durante más de un año para robar archivos y enviarlos al almacenamiento de Google Drive.

Según una investigación de la empresa de ciberseguridad ESET, el grupo de amenazas APT 37 (también conocido como Reaper, Red Eyes, Erebus, ScarCruft) usó el malware recién descubierto contra entidades muy específicas. El grupo ha estado asociado con actividades de espionaje alineándose con los intereses de Corea del Norte desde 2012.

Los investigadores encontraron Doplphin en abril de 2021 y observaron que evolucionaba hacia nuevas versiones con códigos mejorados y mecanismos antidetección.

Más allá de la BLUELIGHT

Dolphin se usa junto con BLUELIGHT, una herramienta de reconocimiento básica vista en campañas APT37 anteriores, pero presenta capacidades más poderosas como robar información de navegadores web (contraseñas), tomar capturas de pantalla y registrar pulsaciones de teclas.

BLUELIGHT se utiliza para iniciar el cargador Python de Dolphin en un sistema comprometido, pero tiene un papel limitado en las operaciones de espionaje.

El cargador de Python incluye un script y un shellcode, iniciando un descifrado XOR de varios pasos, creación de procesos, etc., lo que finalmente da como resultado la ejecución de la carga útil de Dolphin en un proceso de memoria recién creado.

APT37 cadena de infección observada
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Dolphin es un ejecutable de C++ que utiliza Google Drive como servidor de comando y control (C2) y para almacenar archivos robados. El malware establece persistencia modificando el Registro de Windows.

Capacidades de Dolphin

Durante la etapa inicial, Dolphin recopila la siguiente información de la máquina infectada:

     Nombre de usuario
     Nombre del ordenador
     Dirección IP local y externa
     Software de seguridad instalado
     Tamaño y uso de RAM
     Presencia de herramientas de depuración o inspección de paquetes de red
     versión del sistema operativo

La puerta trasera también envía al C2 su configuración actual, número de versión y hora.

La configuración contiene instrucciones para el registro de teclas y exfiltración de archivos, credenciales para el acceso a la API de Google Drive y claves de cifrado.

Configuración de Dolphin (ESET)
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los investigadores dicen que los piratas informáticos entregaron sus comandos a Dolphin cargándolos en Google Drive. En respuesta, la puerta trasera carga el resultado de ejecutar los comandos.

El malware tiene un conjunto ampliado de capacidades que incluye escanear unidades locales y extraíbles en busca de varios tipos de datos (medios, documentos, correos electrónicos, certificados) que se archivan y envían a Google Drive. Esta función se mejoró aún más para filtrar los datos por extensión.

Robar archivos del teléfono conectado

Sus capacidades de búsqueda se extienden a cualquier teléfono conectado al host comprometido mediante el uso de la API de dispositivo portátil de Windows.

ESET señala que esta funcionalidad parecía estar en desarrollo en la primera versión del malware que encontraron. La evidencia que apuntaba a esto era:

-   uso de una ruta codificada con un nombre de usuario que probablemente no exista en la computadora de la víctima

  -  inicialización de variable faltante: se supone que algunas variables se inicializaron en cero o se desreferenciaron como punteros sin inicialización
    filtrado de extensión faltante

Además, también puede reducir la seguridad de la cuenta de Google de la víctima al cambiar la configuración relacionada. Esto podría permitir a los atacantes mantener su acceso a la cuenta de la víctima durante un período más largo.

Dolphin puede registrar las pulsaciones de teclas del usuario en Google Chrome abusando de la API 'GetAsyncKeyState' y puede tomar una instantánea de la ventana activa cada 30 segundos.

Los investigadores de ESET detectaron cuatro versiones distintas para la puerta trasera Dolphin, la última 3.0 de enero de 2022.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Es posible que existan versiones más nuevas de Dolphin y que se hayan utilizado en ataques, dado que la puerta trasera se ha implementado contra objetivos seleccionados.

Según los investigadores, el malware se usó en un ataque de abrevadero en un periódico de Corea del Sur que informaba sobre actividades y eventos relacionados con Corea del Norte. Los piratas informáticos se basaron en un exploit de Internet Explorer para finalmente entregar la puerta trasera de Dolphin a los hosts de destino.

El informe de ESET proporciona una lista de hashes para las versiones de puertas traseras de Dolphin 1.9 a 3.0 (86/64 bits).

Mas Info:

WeLiveSecurity by ESET
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta