I ricercatori di sicurezza hanno scoperto un malware precedentemente sconosciuto chiamato Dophin, che da oltre un anno viene utilizzato dagli hacker nordcoreani in operazioni altamente mirate per rubare file e inviarli allo storage di Google Drive.
La società di sicurezza informatica ESET ha scoperto un nuovo malware utilizzato con BLUELIGHT, uno strumento di sorveglianza. Chiamato Dolphin, il nuovo malware sarebbe in grado di scansionare le unità dei sistemi compromessi alla ricerca di file di interesse e di esfiltrare tali file in Google Drive. Secondo quanto riferito, è stato distribuito da ScarCruft.
ScarCruft, noto anche come APT37 o Reaper, è un gruppo di spionaggio che opera almeno dal 2012. Si concentra principalmente sulla Corea del Sud, ma sono stati presi di mira anche altri Paesi asiatici. ScarCruft sembra essere interessato principalmente a organizzazioni governative e militari, nonché ad aziende di vari settori legate agli interessi della Corea del Nord.
Il nuovo malware vuole i vostri dati
È probabile che Dolphin abbia avuto diverse versioni. Secondo i ricercatori di sicurezza, una caratteristica notevole delle versioni precedenti di Dolphin è la capacità di modificare le impostazioni degli account Google e Gmail collegati delle vittime per ridurne la sicurezza, molto probabilmente per mantenere l’accesso alle caselle di posta delle vittime.
Oltre a ciò, Dolphin dispone di un’ampia gamma di funzionalità di spionaggio, tra cui il monitoraggio di unità e dispositivi mobile, l’esfiltrazione di file di interesse, la registrazione di sequenze di tasti, l’acquisizione di screenshot e il furto di credenziali del browser.
Tuttavia, il suo scopo principale è quello di scansionare tutte le unità di archiviazione fisse e non fisse (USB), creare elenchi di directory ed esfiltrare i file per estensione. Vengono quindi creati archivi ZIP criptati con i dati di interesse per gli hacker, che vengono inviati a vari account Google Drive.
Dolphin esegue anche la scansione dei dispositivi portatili, come gli smartphone, tramite l’API Windows Portable Device. Infine, il malware è anche in grado di raccogliere informazioni di base sul computer preso di mira, tra cui la versione del sistema operativo, la versione del malware, l’elenco dei prodotti di sicurezza installati, il nome utente e il nome del computer.