Cybersäkerhetsforskare har upptäckt en ny stam av Windows-skadlig programvara som kan stjäla känslig data från vilken ansluten enhet som helst, inklusive mobiltelefoner, och den används uppenbarligen av grupper kopplade till den nordkoreanska regeringen.
ESET-experter sa att de stötte på en tidigare okänd informationsstöldare vid namn Dolphin. Dolphin används tydligen av en hotaktör känd som APT 37, eller Erebus, en grupp med kända band till den nordkoreanska regeringen. Gruppen, säger forskarna, har varit aktiv i ungefär ett decennium.
Dolphin sågs första gången i april 2021, men har sedan dess vuxit till ett riktigt odjur. Idag kan den stjäla information från webbläsare (lagrade lösenord, kreditkortsuppgifter etc.), ta skärmdumpar av infekterade terminaler och registrera alla tangenttryckningar.
Ladda upp allt till Google Drive
Skadlig programvara hämtar sina kommandon från en instans av Google Drive och skickar även all insamlad information dit.
Utöver allt detta samlar Dolphin även in information som ditt datornamn, lokala och externa IP-adress, säkerhetslösningar installerade på terminalen, hårdvaruspecifikationer och operativsystemversion.
Dessutom skannar den alla lokala och flyttbara enheter efter känslig data (dokument, e-post, foton och videor, etc.) samt smartphones. ESET säger att detta möjliggjordes av Windows Mobile Devices API.
Fyra olika versioner av skadlig programvara har upptäckts hittills, med den senaste versionen 3.0 som släpptes i januari 2022.
Nordkorea är relativt aktivt på cyberbrottsscenen, med några stora statssponsrade grupper som orsakar förödelse i den digitala världen. Det kanske mest ökända exemplet är Lazarus Group, som lyckades stjäla cirka 600 miljoner dollar från kryptovalutaföretaget Ronin Bridge. Underrättelserapporter tyder på att den nordkoreanska regeringen anställer cyberkriminella team för att finansiera sin verksamhet.
Via: BleepingComputer (öppnas i en ny flik)