Vírus usado em espionagem rouba dados até de celulares conectados ao PC
Uma nova ferramenta de espionagem cibernética chamada Dolphin é capaz de roubar dados não somente do PC, mas também de celulares conectados ao computador. A praga estaria sendo usada desde abril de 2021 em operações de espionagem, com contaminações direcionadas realizadas por cibercriminosos a serviço do governo da Coreia do Norte.
O grupo responsável pelos ataques é o já conhecido APT 37, também batizado de Reaper, Red Eyes ou Erebus pelos pesquisadores em segurança. Associada aos interesses do regime norte-coreano desde 2012, a quadrilha desenvolve malwares e novas ferramentas ofensivas para ampliar seu poder de fogo, enquanto realiza golpes contra entidades e indivíduos específicos em busca de informações pertinentes politicamente ou fundos para financiar o regime.
No caso do Dolphin, detalhado pela empresa de segurança digital ESET, o ataque acontece de forma combinada ao Bluelight, uma ferramenta de reconhecimento que também é capaz de roubar dados. É a partir dela que o vírus é lançado, após o recebimento de comandos a partir de servidores de controle hospedados no Google Drive, como forma de aumentar a furtividade e reduzir a chance de o tráfego ilegítimo ser detectado por plataformas de segurança.
Uma vez implantado, o malware altera o registro do Windows e coleta informações do computador comprometido, servindo para que os criminosos reconheçam se o alvo é de interesse. Em caso positivo, credenciais salvas, dados digitados e até capturas de tela são realizadas, com todas as informações, também, sendo enviadas a espaços controlados pelos bandidos no Google Drive.
Esse reconhecimento, também, se aplica a celulares conectados ao PC, um recurso que a ESET aponta ainda estar em desenvolvimento pelos bandidos. Além de roubar dados dos smartphones Android, a praga também tenta mudar as configurações de segurança, desligando verificações da conta do Google, por exemplo, como forma de permanecer com acesso, também, a e-mails e drives pessoais das vítimas.
Os especialistas apontam que pelo menos quatro versões atualizadas do Dolphin foram liberadas desde que os ataques começaram, no ano passado, com a mais recente obtida pela equipe de segurança sendo de janeiro deste ano. Isso indica, então, que o malware pode estar ainda mais avançado em seu estado atual, enquanto os golpes contra alvos altamente selecionados dificultam a obtenção de novas amostras pelos pesquisadores.
As vítimas não foram identificadas, mas elas incluiriam pelo menos um jornal da Coreia do Sul, comprometido a partir de uma brecha no Internet Explorer. Indicadores de comprometimento e detalhes técnicos sobre o funcionamento do Dolphin e seus ataques foram publicados no alerta da ESET e podem servir para verificações de segurança e bloqueio de sinais.