Los investigadores de Kaspersky informaron sobre una nueva variante de Pista D spyware, que puede rastrear y robar detalles confidenciales de objetivos en cualquier lugar.
Vincularon el uso de la nueva versión por parte de piratas informáticos de Corea del Norte, que esta vez están utilizando DTrack contra empresas de Europa y América Latina. Este software espía de puerta trasera se ejecutará en la memoria del sistema del objetivo, por lo que permanecerá allí durante más tiempo sin ser detectado.
Nueva versión de DTrack
Según se informa, un grupo de piratas informáticos de Corea del Norte llamado Lazarus está utilizando una nueva versión de DTrack, un malware de puerta trasera que se utiliza para espiar objetivos e instalar malware adicional.
Detallando su funcionamiento, Los investigadores de Kaspersky dijeron que el grupo de piratería está utilizando DTrack contra organizaciones en América Latina y Europa.
Más específicamente, están dirigidos a centros de investigación gubernamentales, institutos de políticas, fabricantes de productos químicos, proveedores de servicios de TI, proveedores de telecomunicaciones y entidades educativas en Alemania, Brasil, India, Italia, México, Suiza, Arabia Saudita, Turquía y Estados Unidos.
Este malware de puerta trasera puede realizar una variedad de actividades como registro de teclas, captura de capturas de pantalla, recuperación del historial del navegador, husmear en un proceso en ejecución, arrebatar la dirección IP y la información de conexión de red, etc. Aparte de esto, también se puede usar para ejecutar comandos remotos en el objetivo del sistema.
Los actores de ransomware también usan DTrack para instalar sus cargas útiles y cifrar los sistemas del objetivo. Bien, a menudo se disfraza con nombres de archivos legítimos en el dispositivo comprometido antes de desempaquetarlo en varios pasos e instalarse directamente en la memoria del sistema.
Los investigadores notaron que la nueva versión de DTrack se ubicaría en el dispositivo comprometido como el “explorador.exe” procesar y propagar a través de credenciales robadas o explotar los servidores expuestos a Internet.
Bueno, se dice que la nueva versión es ligeramente diferente (lo que la hace mejor) en comparación con la anterior: con el último usando hashing de API para cargar bibliotecas y funciones en lugar de cadenas ofuscadas. Esto redujo efectivamente la cantidad de servidores C2 a solo tres, que es la mitad de lo que su variantes anteriores usado.
