Malware Dolphin del Grupo A37 Usado para Robar Datos y Atacar un Periódico Surcoreano

Los investigadores de seguridad de la firma ESET descubrieron una puerta trasera desconocida que nombraron “Dolphin”, que ha sido utilizada por hackers norcoreanos en operaciones altamente dirigidas durante más de un año para robar archivos y luego enviarlos a Google Drive.

El grupo APT 37 Reaper, Red, Eyes, Erebus y Scarcruft ha utilizado el malware Dolphin contra entidades muy específicas. Este grupo ha sido vinculado con actividades de espionaje asociadas con intereses norcoreanos desde 2012.

El malware, es decir, Dolphin, fue detectado por primera vez por los investigadores de ESET en 2021, y desde entonces, ha evolucionado a nuevas variantes con códigos mejorados y métodos de anti-detección.

Bueno, los atacantes no usan Dolphin solo; BLUELIGHT se utiliza junto con Dolphin. BLUELIGHT es una herramienta de espionaje básica que ha sido parte de campañas anteriores de AP37, aunque tiene habilidades más poderosas, es decir, robar contraseñas de navegadores web, registrar pulsaciones de teclas y tomar capturas de pantalla.

El BLUELIGHT se utiliza para iniciar el cargador de Python Dolphin en una computadora infectada, aunque tiene un papel muy limitado en las actividades de espionaje.

El cargador de Python Dolphin, que incluye un script y un shellcode, lanza una creación de desencriptación XOR en múltiples pasos que, al final, resulta en la carga útil de Dolphin en el nuevo proceso de memoria creado.

Bueno, el malware Dolphin es un ejecutable en C++ que utiliza Google Drive como un servidor de comando C2 para mantener archivos robados, y el malware comienza la persistencia alterando el Registro de Windows.

Leer: El portal falso MSI Afterburner apunta a jugadores de Windows para minar criptomonedas.

El malware en las etapas iniciales recopila la siguiente información de la computadora comprometida.

• Nombre de usuario

• Nombre de la computadora

• Direcciones IP locales y externas

• Antivirus instalado

• Tamaño y uso de RAM

• Existencia de herramientas de depuración o inspección de red

• Versión del sistema operativo

Además, el malware también envía al servidor C2 su configuración actual, hora y número de versión, y la configuración contiene registradores de teclas y también instrucciones de exfiltración de datos y detalles de inicio de sesión para la API de Google Drive, claves de cifrado y acceso.

Según los investigadores de ESET, los atacantes enviaron sus comandos al malware subiéndolos a Google Drive, y a cambio, la puerta trasera, es decir, Dolphin, sube los resultados de la ejecución de esos comandos. Además, Dolphin tiene un conjunto ampliado de capacidades que incluye escanear discos duros locales y extraíbles en busca de una variedad de datos como imágenes, documentos, certificados y correos electrónicos. La función se mejoró aún más para filtrar datos por extensión.

El malware tiene una capacidad de búsqueda aumentada a través de la cual puede escanear cualquier teléfono que esté conectado a la computadora infectada utilizando la API de Windows Portable Drive. Sin embargo, los investigadores de ESET dicen que esta función aún se estaba desarrollando en la primera versión del malware que descubrieron.

Ejemplos de ello son los siguientes.

Uso de una ruta codificada con un nombre de usuario que probablemente no existe en la computadora de la víctima.

Inicialización de variable faltante: algunas de las variables se asumen como inicializadas en cero, o se desreferencian como punteros sin inicialización.

Filtración de extensión faltante.

Además, también puede debilitar la seguridad de la cuenta de Google de la víctima al cambiar su configuración relacionada, y a cambio, esto permite a los hackers tener acceso a la cuenta de Gmail durante más tiempo. También, el malware puede registrar las pulsaciones de teclas explotando Google Chrome GetAsyncKeyStateAPI. Puede tomar una captura de pantalla de la ventana activa cada 30 segundos.

Los investigadores de la firma de seguridad ESET ya han encontrado cuatro variantes diferentes del malware Dolphin desde enero de 2022, y es posible que exista una versión más nueva de Dolphin y que posiblemente ya se haya utilizado en ataques, ya que la puerta trasera ha sido utilizada contra objetivos específicos.

Los investigadores de ESET añadieron que el malware Dolphin fue utilizado en un ataque de water-hole a un periódico surcoreano que informa sobre actividades y eventos relacionados con Corea del Norte. Los hackers utilizaron Internet Explorer para desplegar el malware Dolphin y atacar a los hosts.

Leer: Google lanza una actualización de Chrome para corregir su octava vulnerabilidad de día cero del año.