Hackers norte-coreanos desenvolveram um malware chamado ATMDTrack, usado para registrar e roubar dados de cartões inseridos em caixas eletrônicos na Índia. A empresa de cibersegurança russa Kaspersky Lab identificou os autores, conhecidos como Grupo Lazarus, e após uma análise mais profunda constatou que as amostras do malware fazem parte de um trojan de acesso remoto (RAT), chamado DTrack.
Lazarus ficou conhecido em 2013 com a campanha DarkSeoul, que tinha como objetivo atacar instalações de alto nível na Coreia do Sul, limpando discos rígidos de computadores associados a bancos, emissoras de televisão e empresas financeiras do país. O grupo de hackers, conhecido por seus laços com o governo norte-coreano, entrou na lista de sanções dos Estados Unidos na semana passada por desviar dinheiro de empresas para financiar programas de armas e mísseis da Coreia do Norte.
Os dados coletados dos cartões bancários eram arquivados e protegidos por senha, depois salvos em disco e enviados para um servidor de comando e controle. O código malicioso estava ofuscado dentro de um executável aparentemente inofensivo, protegido por camadas de criptografia. No entanto, os membros da Kaspersky Lab conseguiram descriptografá-lo e identificar que o grupo reutilizou parte de seu antigo código para atacar o setor financeiro e os centros de pesquisa na Índia.
“A grande quantidade de amostras do DTrack que conseguimos encontrar mostra que o grupo Lazarus é um dos grupos de Ameaça Persistente Avançada (APT) mais ativos em termos de desenvolvimento de malware”, afirmou Kapersky. “E, mais uma vez, vemos que esse grupo usa ferramentas semelhantes para realizar ataques de espionagem tanto com motivação financeira quanto puramente por espionagem”, concluiu.
Via: The Next Web