YamaBot Malware

O YamaBot Malware é uma ameaça prejudicial que está sendo vinculada à organização cibercriminosa APT (Ameaça Persistente Avançada) da Coreia do Norte, conhecida como Grupo Lazarus. Essa variedade de malware em particular é escrita na linguagem de programação Go e seus alvos foram localizados principalmente no Japão. Os cibercriminosos criaram diferentes versões do YamaBot, dependendo dos sistemas específicos que desejam infectar. Inicialmente, o YamaBot foi aproveitado apenas contra servidores Linux OS, mas uma versão mais recente capaz de impactar dispositivos Windows OS foi descoberta.

A funcionalidade exata do YamaBot difere entre as duas versões. Para começar, as informações iniciais sobre o sistema infectado coletadas pelo malware incluem nomes de host, nomes de usuário e endereços MAC no Windows e apenas nomes de host e nomes de usuário no Linux. Além disso, a versão Linux só pode executar comandos shell via /bin/sh.

No entanto, no Windows, o YamaBot pode obter listas de arquivos e diretórios, buscar arquivos adicionais, modificar o tempo de suspensão do sistema, executar comandos de shell e excluir a si mesmo da máquina. Por razões desconhecidas, os invasores criaram a ameaça YamaBot para retornar os resultados dos comandos executados também em alemão. Quanto à comunicação com o servidor de Comando e Controle da operação ameaçadora (C2, C&C), a ameaça utiliza solicitações HTTP.