Governos, centros de pesquisa, indústria e telecom estão entre os setores visados pelo DTrack, que concentra atividades na Europa e América Latina
O Brasil aparece como um dos focos de atuação do DTrack, malware de roubo de dados e comprometimento de redes que está sendo associado a criminosos digitais sob o comando da Coreia do Norte. A praga tem como alvo centros de pesquisa e empresas dos setores de indústria, telecom, tecnologia, indústria e educação, além de órgãos governamentais.
O vírus modular aparece em uma nova versão na atual onda de ataques, com recursos que permitem aos criminosos capturar a tela de computadores infectados, o histórico de navegadores e informações sobre a conexão com a rede e a internet. A partir disso, criam uma backdoor que permite uma invasão posterior para novos ataques, o que também inclui um sistema que permite interromper processos para aumentar a furtividade da ameaça.
De acordo com os especialistas da Kaspersky, a ideia é realizar um acompanhamento dos dispositivos de interesse, onde, mais tarde, contaminações adicionais e o roubo de dados, assim como a movimentação lateral, podem ocorrer. Ainda que esteja sendo catalogada como uma nova versão, os pesquisadores apontam que a edição atual do DTrack não traz novos recursos importantes ou mudanças relevantes no código-fonte, mas contam com elementos que permitem uma disseminação maior pelo globo.
De acordo com os especialistas da Kaspersky, a atividade pode ser atribuída ao grupo Lazarus, conhecido pelas ações em prol do regime norte-coreano. A ideia também seria a obtenção de informações que possam levar a ganhos financeiros que financiem o governo do país.
A backdoor vem sendo usada em ataques contra indústrias e governos, pelo menos, desde 2019. Em ondas de tamanho significativo, ataques de ransomware e até a contaminação das redes de usinas nucleares na Índia foram registrados, ainda que os pesquisadores apontam que o objetivo final seja mais o ganho financeiro do que o comprometimento de operações oficiais ou o roubo de segredos diplomáticos.
Vírus se disfarça de softwares conhecidos
Além do Brasil, países como EUA, Alemanha, Itália, Índia, Suíça, Arábia Saudita, México e Turquia estão entre os principais alvos dos criminosos. Servidores expostos na internet ou redes cujas credenciais foram comprometidas são os vetores de entrada principais, em vez dos tradicionais e-mails de phishing que dependem de cliques e ações do próprio usuário para que a infecção aconteça.
A Kaspersky também destaca o uso de nomes conhecidos como executáveis para a praga, de forma a aumentar sua furtividade. Uma das amostras encontradas, por exemplo, rodava disfarçada de um sistema de contêineres de placas de vídeo da Nvidia, ampliando a dificuldade de detecção mesmo diante de um sistema de monitoramento de processos.
Os bandidos também limitaram as conexões a servidores de comando e controle, também de olho na possibilidade de monitoramento, além de APIs e funções executadas de forma criptografada. Apenas quatro domínios são usados pelo DTrack para recebimento de ordens, todos com nomes reconhecíveis — alguns, inclusive, estão ativos desde agosto de 2021 e seguem sendo usados como parte dos ataques.
Apesar de o número total de vítimas não foi divulgado, a Kaspersky fala desta como uma campanha ainda em andamento e que deve levantar sinais de alerta para as companhias dos setores visados. A empresa de segurança também liberou indicadores de comprometimento e sinais que podem ser bloqueados em sistemas de segurança para evitar ameaças.
Fonte: Kaspersky