Des chercheurs en cybersécurité ont découvert une nouvelle souche de logiciels malveillants pour Windows, capable de voler des données sensibles à partir de n’importe quel appareil connecté, y compris les téléphones portables, et qui est apparemment utilisée par des groupes liés au gouvernement nord-coréen.
Des experts d’ESET ont déclaré être tombés sur un voleur d’informations jusque-là inconnu appelé Dolphin. Apparemment, Dolphin est utilisé par un acteur menaçant connu sous le nom d’APT 37, ou Erebus, un groupe ayant des liens connus avec le gouvernement nord-coréen. Le groupe, disent les chercheurs, est actif depuis environ une décennie.
Dolphin a été repéré pour la première fois en avril 2021, mais est depuis devenu une véritable bête. De nos jours, il est capable de voler des informations à partir des navigateurs Web (mots de passe stockés, données de carte de crédit, etc.), de prendre des captures d’écran des terminaux infectés, ainsi que d’enregistrer toutes les frappes.
Tout envoyer sur Google Drive
Le logiciel malveillant obtient ses commandes à partir d’une instance de Google Drive et y envoie également toutes les informations recueillies.
Outre tout cela, Dolphin recueille également des informations telles que le nom de votre ordinateur, l’adresse IP locale et externe, les solutions de sécurité installées sur le terminal, les spécifications matérielles et la version du système d’exploitation.
De plus, il analyse tous les disques locaux et amovibles à la recherche de données sensibles (documents, e-mails, photos et vidéos, etc.), ainsi que les smartphones. ESET dit que cela a été rendu possible grâce à l’API Windows Portable Device.
Jusqu’à présent, quatre versions différentes du logiciel malveillant ont été repérées dans la nature, la dernière, la version 3.0, étant sortie en janvier 2022.
La Corée du Nord est relativement active sur la scène de la cybercriminalité, avec quelques grands groupes parrainés par l’État qui font des ravages dans le monde numérique. L’exemple le plus tristement célèbre est peut-être le groupe Lazarus, qui a réussi à voler quelque 600 millions de dollars à la société de crypto-monnaie Ronin Bridge. Les rapports de renseignement suggèrent que le gouvernement nord-coréen emploie des équipes de cybercriminels pour financer ses opérations.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)