Сравнительно давно эксперты АКБ не слышали прямых новостей от прославленной северокорейской группировки Lazarus, все больше косвенные. То они новое кибероружие разрабатывают, то взламывают криптобиржи, но все где-то там, в дымке у горизонта.
Оказывается, за этим самым горизонтом северокорейцы трудятся очень активно на базе кибермошенничества, обнося финучреждения второй по численности населения страны мира.
Итак, Lazarus дополнила свой арсенал новой вредоносной программой, способной проникать в системы банкоматов. С помощью этого вредоноса преступники могут записывать и красть данные платёжных карт, которые граждане вставляют в ATM. О новом семействе вредоносных программ сообщили специалисты антивирусной компании «Лаборатория Касперского», которые и присвоили ей имя ATMDtrack.
Впервые ATMDtrack была обнаружена в сетях некоторых индийских банков летом 2018 года. Недавние атаки тоже выбрали своей целью кредитные организации в Индии, в них использовался обновлённый и усовершенствованный образец — DTrack. При этом северокорейские хакеры переориентировали DTrack на шпионские действия и кражу данных.
В обработанной напильником версии вредоноса стали превалировать функции, которые обычно ассоциируют с RAT-троянами (троянами, обеспечивающими удалённый доступ). Текущие версии DTrack могут осуществлять кейлоггинг, извлекать историю браузера, собирать IP-адреса хоста, а также информацию о доступных сетях и активных подключениях, формировать список запущенных процессов и файлов на всех доступных локальных хранилищах.
«Lazarus — это довольно необычная кибергруппировка. Основным видом ее деятельности является кибершпионаж, но она также замечена в проведении атак, нацеленных непосредственно на кражу денег, что обычно не свойственно подобным группировкам. Огромное количество найденных нами образцов Dtrack говорит о том, что Lazarus — один из самых активных разработчиков вредоносного ПО среди APT-группировок» , — Константин Зыков, антивирусный эксперт «Лаборатории Касперского».
Возможно все проще, чем кажется, и секрет того, что кибершпионы на госпайке преимущественно занимаются цифровым гоп-стопом в том, что КНДР, мягко говоря, не самая богатая в мире страна.
Ранее в сентябре кибернетическое командование США загрузило в сервис VirusTotal 11 образцов вредоносного ПО, предположительно связанного с Lazarus.
Читайте также на АКБ про Lazarus:
Lazarus укрепили строй цифровыми гоплитами — готовится что-то масштабное?
Анийо, амиго! Корейские боги хакинга Lazarus грабят Латинскую Америку
Игра киберпрестолов XII: КНДР впервые атаковала Россию!
И предыдущий выпуск нашей регулярной рубрики:
Игра киберпрестолов XXII: Израиль тайно помог США заразить Иран Stuxnet