DTrack, il nuovo spy-tool di Lazarus che colpisce istituzioni finanziarie e centri di ricerca

WatchGuard mostra un aumento del malware evasivo che rafforza un'ondata di minacce già in forte crescita

Il Kaspersky Global Research and Analysis Team ha scoperto uno spy-tool finora sconosciuto, che è stato rilevato in istituzioni finanziarie e centri di ricerca indiani

Nel 2018, i ricercatori di Kaspersky hanno scoperto ATMDtrack, un malware creato per infiltrarsi negli ATM indiani e rubare i dati delle carte di credito degli utenti. Dopo ulteriori approfondimenti usando il software Kaspersky Attribution Engine e altri strumenti, i ricercatori hanno rilevato più di 180 campioni di nuovi malware la cui sequenza di codice presentava somiglianze con ATMDtrack, ma che allo stesso tempo non erano pensati per prendere di mira gli ATM. La lista delle loro funzionalità, infatti, ha portato a identificarli come spy-tool, ora noti con il nome Dtrack. Le due varianti presentavano delle somiglianze non solo tra di loro ma anche con la campagna del 2013 DarkSeoul, che era stata attribuita a Lazarus, autore di una minaccia persistente avanzata responsabile di molteplici operazioni di cyberspionaggio e sabotaggio informatico.

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

Dtrack può essere usato come uno strumento di amministrazione remota (RAT), garantendo agli autori della minaccia il completo controllo dei dispositivi infettati. I criminali informatici possono, a quel punto, condurre diverse operazioni, come caricare e scaricare file ed eseguire processi chiave.

Gli enti presi di mira dagli autori delle minacce che si sono serviti di Dtrack hanno spesso policy di sicurezza di rete e standard per le password molto deboli; inoltre, non riescono a tracciare il traffico dell’intera organizzazione. Se implementato correttamente, lo spyware è in grado di compilare una lista di tutti i file disponibili e dei processi in corso, delle chiavi di accesso, la cronologia e l’indirizzo IP dell’host, incluse le informazioni disponibili sulle reti e le connessioni attive

Leggi anche:  Come il “CISO as a Service” può sostenere la cyber-resilienza delle aziende anche nell’era della GenAI

“Lazarus è un gruppo sostenuto dagli Stati nazione piuttosto insolito. Come molti altri gruppi simili, si concentra nella conduzione di operazioni di cyberspionaggio o sabotaggio. Oltre a questo, però, si è anche scoperto che influenza gli attacchi che mirano chiaramente al furto di denaro. Quest’ultima è una rara dinamica per un autore di minacce di così alto profilo perché, in generale, altri autori non sono guidati da motivazioni finanziarie nelle loro operazioni. La grande quantità di campioni di Dtrack che abbiamo trovato dimostra come Lazarus sia uno dei gruppi APT più attivi, in costante sviluppo ed evoluzione nel tentativo di colpire le grandi industrie. Il successo dell’esecuzione di Dtrack RAT dimostra che anche quando una minaccia sembra scomparire, ricompare in una veste diversa per attaccare nuovi obiettivi. Anche un centro di ricerca, o un’organizzazione finanziaria che opera esclusivamente nel settore commerciale senza legami con enti governativi, dovrebbe comunque considerare l’eventualità di essere attaccati da un autore di minacce sofisticate ed essere preparati a rispondere”, ha dichiarato Konstantin Zykov Security Researcher del Kaspersky’s Global Research and Analysis Team.

I prodotti Kaspersky rilevano e bloccano con successo il malware Dtrack.

Per evitare di essere colpiti da un malware come Dtrack, gli esperti di Kaspersky raccomandano di:

  • Usare un software di monitoraggio del traffico di rete, come Kaspersky Anti Targeted Attack Platform (KATA)
  • Adottare soluzioni di sicurezza la cui validità sia stata comprovata, corredate da tecnologie di rilevamento delle minacce basate sul comportamento, come like Kaspersky Endpoint Security for Business
  • Condurre regolarmente dei test sulla sicurezza dell’infrastruttura IT dell’azienda
  • Condurre regolarmente dei corsi di sicurezza informatica per i dipendenti
Leggi anche:  Il 58% delle famiglie di malware vendute “as a service” sono ransomware