Investigadores de ciberseguridad han descubierto una nueva variante de malware de Windows que es capaz de robar datos confidenciales de cualquier dispositivo conectado, incluidos teléfonos móviles, y aparentemente está siendo utilizado por grupos vinculados al gobierno de Corea del Norte.
Los expertos de ESET dicen que se han topado con un programa de robo de información previamente desconocido llamado Dolphin. Aparentemente, Dolphin está siendo utilizado por un grupo de amenazas llamado APT 37 o Erebus, que tiene vínculos conocidos con el gobierno de Corea del Norte. El grupo ha estado activo durante aproximadamente una década, dijeron los investigadores.
El delfín fue visto por primera vez en abril de 2021, pero desde entonces se ha convertido en una bestia. Hoy en día, es capaz de robar información de los navegadores web (contraseñas almacenadas, datos de tarjetas de crédito, etc.), tomar capturas de pantalla de los puntos finales infectados y registrar todas las pulsaciones de teclas.
Enviar todo a Google Drive
El malware toma comandos de la instancia de Google Drive y también envía allí toda la inteligencia recopilada.
Entre otras cosas, Dolphin recopila información como el nombre de su computadora, las direcciones IP locales y externas, las soluciones de seguridad instaladas en los puntos finales, las especificaciones de hardware y las versiones del sistema operativo.
Además, escanea todas las unidades locales y extraíbles en busca de datos confidenciales (documentos, correos electrónicos, fotos y videos, etc.), así como teléfonos inteligentes. ESET dice que esto se logra a través de la API de dispositivos portátiles de Windows.
Hasta el momento, se han encontrado cuatro versiones diferentes del malware en la naturaleza, con la última versión 3.0 lanzada en enero de 2022.
Corea del Norte es relativamente activa en el campo del delito cibernético, con varios grupos importantes respaldados por el estado causando estragos en el mundo digital. Quizás el ejemplo más notorio es Lazarus Group, que logró robar aproximadamente $600 millones de la firma de criptomonedas Ronin Bridge. Los informes de inteligencia indican que el gobierno de Corea del Norte está utilizando grupos de ciberdelincuencia para financiar sus operaciones.
vía: BleepingComputer (se abre en una nueva pestaña)
