Malware Dolphin do Grupo A37 Usado para Roubar Dados e Alvo de Jornal Sul-Coreano

Pesquisadores de Segurança da empresa ESET descobriram um backdoor desconhecido que nomearam de “Dolphin”, que tem sido usado por hackers norte-coreanos em operações altamente direcionadas por mais de um ano para roubar arquivos e depois enviá-los para o Google Drive.

O grupo APT 37 Reaper, Red, Eyes, Erebus, & Scarcruft tem usado o malware Dolphin contra entidades muito específicas. Este grupo está vinculado a atividades de espionagem associadas aos interesses norte-coreanos desde 2012.

O malware, ou seja, Dolphin, foi detectado pela primeira vez por pesquisadores da ESET em 2021, e desde então, evoluiu para novas variantes com códigos aprimorados e métodos de anti-detecção.

Bem, os atacantes não usam o Dolphin sozinho; o BLUELIGHT é usado junto com o Dolphin. O BLUELIGHT é uma ferramenta básica de espionagem que tem sido parte de campanhas anteriores do AP37, embora tenha habilidades mais poderosas, ou seja, roubar senhas de navegadores da web, registrar pressionamentos de teclas e tirar capturas de tela.

O BLUELIGHT é usado para iniciar o carregador Python Dolphin em um computador infectado, embora tenha um papel muito limitado nas atividades de espionagem.

O carregador Python Dolphin, que inclui um script e um shellcode, inicia uma criação de decriptação XOR em múltiplas etapas que, no final, resulta na carga útil do Dolphin no processo de memória recém-criado.

Bem, o malware Dolphin é um executável C++ que usa o Google Drive como um servidor de comando C2 para manter arquivos roubados, e o malware começa a persistência alterando o Registro do Windows.

Leia: Portal Falso MSI Afterburner Alvo de Jogadores de Windows para Mineração de Cripto

O malware, nas fases iniciais, coleta as seguintes informações do computador comprometido.

• Nome de usuário

• Nome do computador

• Endereços IP Local e Externo

• Antivírus Instalado

• Tamanho e uso da RAM

• Existência de ferramenta de depuração ou inspeção de rede

• Versão do Sistema Operacional

Além disso, o malware também envia ao servidor C2 sua configuração atual, hora e número da versão, e a configuração contém keyloggers e também instruções de exfiltração de dados e detalhes de login para a API do Google Drive, chaves de criptografia e acesso.

De acordo com os pesquisadores da ESET, os atacantes enviaram seus comandos para o malware fazendo upload deles para o Google Drive, e em troca, o backdoor, ou seja, Dolphin, faz upload dos resultados da execução desses comandos. Além disso, o Dolphin possui um conjunto aumentado de capacidades que inclui escanear discos rígidos locais e removíveis em busca de uma variedade de dados, como imagens, documentos, certificados e e-mails. O recurso foi então aprimorado ainda mais para filtrar dados por extensão.

O malware tem uma capacidade de busca aumentada pela qual pode escanear qualquer telefone que esteja conectado ao computador infectado usando a API de Unidade Portátil do Windows. No entanto, os pesquisadores da ESET afirmam que essa função ainda estava sendo desenvolvida na primeira versão do malware que descobriram!

Exemplos disso são os seguintes.

Uso de um caminho hardcode com um nome de usuário que provavelmente não existe no computador da vítima.

Inicialização de variável ausente – algumas das variáveis são assumidas como inicializadas em zero, ou são desreferenciadas como ponteiros sem inicialização.

Filtração de extensão ausente.

Além disso, também pode enfraquecer a segurança da conta do Google da vítima ao alterar suas configurações relacionadas, e em troca, isso permite que os hackers tenham acesso à conta do Gmail por mais tempo. Além disso, o malware pode registrar os pressionamentos de teclas explorando a API GetAsyncKeyState do Google Chrome. Ele pode tirar uma captura de tela da janela ativa a cada 30 segundos.

Os pesquisadores da empresa de segurança ESET já encontraram quatro variantes diferentes do malware Dolphin desde janeiro de 2022, e é possível que uma versão mais nova do Dolphin exista e possivelmente tenha sido usada em ataques, pois o backdoor tem sido usado contra alvos específicos.

Pesquisadores da ESET acrescentaram que o malware Dolphin foi usado em um ataque de water-hole em um jornal sul-coreano que reportava sobre atividades e eventos relacionados à Coreia do Norte. Os hackers usaram o Internet Explorer para implantar o malware Dolphin visando os hosts.

Leia: Google Lança Atualização do Chrome para Corrigir sua 8ª Vulnerabilidade Zero-day do Ano