Dtrack RAT

O grupo Lázaro é um nome muito ativo e famoso no cibercrime no momento. Eles foram os hackers por trás dos infames ataques WannaCry Ransomware, o hack contra a Sony Entertainment e muitos outros ataques contra alvos de alto nível. Uma das ferramentas recentes que se acredita serem originárias dos computadores do grupo Lazarus Advanced Persistent Threat (Ameaça Persistente Avançada) é o Dtrack RAT, um Trojan de Acesso Remoto que permite que os seus operadores tenham controle quase completo sobre os computadores infectados. Acredita-se que o Dtrack RAT esteja relacionado ao ATMDtrack, um malware do ATM encontrado nos computadores dos bancos indianos em 2018. Ambas as ferramentas são desenvolvidas e usadas pelo grupo Lazarus APT, e é provável que o ATMDtrack seja um versão simplificada do Dtrack RAT.

O Código do Dtrack RAT pode Residir na Memória de um Processo do Sistema

Os hackers do Lazarus mantêm-se fiéis ao seu estilo e usam técnicas de implantação de malware de ponta para cobrir seus rastreadores e contornar as medidas de segurança. O Dtrack RAT é frequentemente usado em combinação com um Trojan dropper não identificado que tem a capacidade de injetar código malicioso na memória dos processos do sistema em execução, fazendo com que os mecanismos anti-vírus pensem que o código malicioso é um processo importante do Windows. Obviamente, o uso de produtos antivírus confiáveis e atualizados regularmente não cairá nesse truque e pode manter seu computador protegido.

O DTrack RAT pode ser Usado para Plantar Outros Malwares ou Coletar Arquivos

Quando o Dtrack RAT é inicializado, ele se conecta imediatamente a um endereço pré-configurado usado para um servidor de Comando e Controle. O RAT verifica novos comandos em um intervalo de tempo específico e executa todas as tarefas pendentes imediatamente. O invasor pode configurar o intervalo de tempo entre as verificações de comando e também pode:

• Carregar ou baixar arquivos no computador comprometido e inicia-los.
• Conceder persistência de inicialização aos arquivos que eles escolherem.
• Copiar o conteúdo de uma pasta, partição ou disco rígido no servidor de controle.
• Atualizar o Dtrack RAT ou remove-lo.

O número de vítimas afetadas pelo Dtrack RAT ainda é muito baixo e os especialistas em segurança cibernética não conseguiram identificar uma falha de segurança precisa que os hackers do Lazarus possam ter usado para entregar o programa ameaçador. É provável que eles tentem explorar serviços e softwares vulneráveis, sistemas operacionais sem correção ou redes mal protegidas.