Eset ha scoperto che la backdoor, nota come Dolphin, è anche infostealer: popolare fra gli hacker della Nord Corea, è in grado di rubare file e dati dagli smartphone delle vittime, per inviarli su Google Drive storage.
“La scoperta di Dolphin, un malware altamente sofisticato con capacità di infostealing”, commenta Pierguido Iezzi, Ceo di Swascan, “ha due sfaccettature”. Ecco quali e come proteggersi.
Indice degli argomenti
Dolphin: le due sfaccettature dell’infostealer
“La prima è strettamente collegata all’attore dietro il suo utilizzo: APT37”, continua Iezzi. “Un gruppo con stretti legami al governo della Nord Corea. Abbiamo quindi il tema del cyber crime a sfondo geopolitico”.
APT 37 (a.k.a. Reaper, Red Eyes, Erebus, ScarCruft) ha usato il nuovo malware scoperto contro entità molto specifiche. Il gruppo è stato associato ad attività di spionaggio con interessi in Nord Corea fin dal 2012.
L’aspetto geopolitico è “sempre più preponderante ed evidente, in particolare negli ultimi mesi”, evidenzia Iezzi: “Pyongyang stessa, già in passato, aveva utilizzato le sue competenze cyber per lanciare attacchi in grado di portare avanti la propria agenda politica – sia che si trattasse di acquisizione fondi sia di spionaggio militare”.
La seconda sfaccettatura riguarda la modalità di esecuzione da parte del malware per Windows: infatti “il secondo tema è più tecnico, legato al modus operandi di Dolphin”, mette in guardia Iezzi. “Gli infostealer, come d’altronde confermato anche dal report ransomware Q3 realizzato dal SOC & Threat Intelligence Team di Swascan, assieme al social engineering sono gli strumenti preferiti nell’arsenale dei criminal hacker per arrivare al proprio obiettivo di persistenza all’interno di sistemi bersaglio. Qualsiasi sia l’obiettivo finale”.
I ricercatori di Eset hanno osservato Dolphin nell’aprile 2021 e poi evolvere in nuove versioni. Il codice è stato perfezionato anche per adottare meccanismi anti-detection. Dai browser è in grado di rubare password, dai telefonini anche catturare schermate ed effettuare la registrazione dei tasti. Ecco le informazioni che ruba:
- username;
- il nome del computer;
- indirizzi IP locali ed esterni;
- software di sicurezza installato;
- dimensioni e utilizzo della RAM;
- presenza di strumenti di debugging o network packet inspection tools;
- versione del sistema operativo.
I dettagli tecnici di Dolphin
Dolphin è usato insieme a BlueLight, per lanciare il Python loader su un sistema compromesso, ma ha un ruolo limitato nello spionaggio. Invece Python loader include uno script e shellcode: lancia una decifratura XOR multi-step, creazione di processi, eccetera; eventualmente è in grado di eseguire il payload di Dolphin in un nuovo memory processo creato.
Dolphin è un eseguibile C++ che usa Google Drive come server command and control (C2) e per archiviare i file archiviare. Il malware si stabilisce in maniera persistente modificando il Registro di Windows.
La backdoor invia a C2 la sua attuale configurazione, numero di version e l’ora.
La configurazione contiene istruzioni di keylogging e file exfiltration, credenziali per le API access di Google Drive e chiavi di cifratura.
Come proteggersi
“Ancora una volta, alla radice delle nuove TTPs (tattiche, tecniche e procedure) dei gruppi di criminali informatici, troviamo la delicata questione dell’identità digitale e della sua protezione, in tutte le sue forme”, conclude Iezzi.
La prima, efficace difesa per gli utenti consiste nel rispettare le best practice di sicurezza, prestando attenzione a file e allegati che scarichiamo. Quindi occorre evitare il download di software e app cda matketplace non ufficiali.
Poiché i cyber criminali hanno sfruttato un exploit per Internet Explorer per portare la backdoor Dolphin sugli obiettivi, bisogna mantenere i browser aggiornati e scaricare le patch.
