Dispozitivele Bluetooth, ținta hackerilor care livrează malware
ScarCruft este un grup experimentat de atacatori vorbitori de coreeană. Recent, cercetătorii Kaspersky Lab au descoperit mai multe nereguli.
Au descoperit că grupul testează și creează noi instrumente și tehnici de hacking. Își extinde atât gama, cât și volumul de informații colectate de la victime. Printre altele, grupul a creat un cod capabil să identifice dispozitive Bluetooth conectate.
Cercetătorii Kaspersky Lab au descoperit un interes crescut față de furtul de date de pe dispozitivele mobile. De asemenea, și pentru programele malware care colectează informații despre dispozitivele Bluetooth, prin utilizarea Windows Bluetooth.
Cel mai probabil, grupul ScarCruft este sponsorizat de stat și vizează entități guvernamentale și companii care au legături cu Peninsula Coreeană. Mai nou, coreeni se concentrează mai mult pe datele de pe dispozitivele mobile.
Cum funcționează atacul celor de la ScarCruft
Pe scurt, atacurile se rezumă fie la phishing, fie la o compromitere strategică a site-urilor (acest atac este cunoscut sub numele de „watering-hole” ). Folosesc un exploit sau alte trucuri pentru a infecta anumiți vizitatori.
În cazul ScarCruft, urmează o infecție care poate ocoli Windows UAC (User Account Control). Asta îi permite să folosească cod lansat în mod normal în organizații pentru teste legitime de intruziune. Pentru a evita detecția la nivel de rețea, malware-ul utilizează steganografia, adică ascunde codul infectat într-un fișier imagine.
Etapa finală a infecției implică instalarea unui backdoor bazat pe servicii de tip cloud, cunoscut sub numele de ROKRAT. Backdoor-ul colectează o gamă largă de informații din sistemele și dispozitivele victimei și le poate transmite către patru servicii cloud: Box, Dropbox, pCloud și Yandex.Disk.
Pe baza datelor de telemetrie, printre victimele acestei campanii se numără societăți de investiții și comerciale din Vietnam și Rusia, care ar putea avea legături cu Coreea de Nord, și entități diplomatice din Hong Kong și Coreea de Nord.
„ScarCruft este prudent și evită să iasă în evidență, însă s-a dovedit un grup cu abilități avansate și activ, cu o inventivitate deosebită în ceea ce privește dezvoltarea și folosirea instrumentelor de atac. Credem că va continua să evolueze”, a spus Seongsu Park, senior security researcher, Global Research and Analysis Team, Kaspersky Lab.