• Veilig Digitaal toont elke dag nieuwe informatie
  • Veel controlemogelijkheden op 1 plek
  • Gecontroleerde software om veilig te blijven

Windows malware kan data stelen van mobiele telefoons

Met de ontdekking dat een nieuw ontdekte Windows-malware die als een achterdeur fungeert, wordt gebruikt door door de Noord-Koreaanse staat gesponsorde hackers in een zeer gerichte campagne om bestanden te stelen en naar Google Drive-opslag te sturen, is een nieuwe dreigingskoers ontdekt. 

Volgens een nieuw rapport gepubliceerd door ESET heeft de Noord-Koreaanse door de staat gesponsorde groep ScarCruft, die ook APT37 wordt genoemd, deze nieuwe achterdeur ontwikkeld die ESET Dolphin noemt. Middels deze achterdeur kunnen gegevens ook worden gestolen van elk mobiel apparaat dat op de Windows-machine is aangesloten.

Dolphin heeft een breed scala aan spionagemogelijkheden, waaronder het monitoren van schijven en draagbare apparaten en het exfiltreren van interessante bestanden, keylogging en het maken van schermafbeeldingen en het stelen van inloggegevens van browsers. De functionaliteit is gereserveerd voor geselecteerde doelen, waarop de achterdeur wordt ingezet na een eerste aanval met behulp van minder geavanceerde malware. In lijn met andere ScarCruft-tools, maakt Dolphin misbruik van cloudopslagdiensten – met name Google Drive.

Exfiltratie van gegevens kan handmatig of automatisch worden gedaan terwijl het actief zoekt naar harde schijven die gegevens bevatten die het stelen waard zijn.

Aangesloten apparaten zijn niet veilig

Misschien wel de meest interessante en alarmerende functie van Dolphin is de mogelijkheid om gegevens te stelen van mobiele telefoons die zijn aangesloten op de geïnfecteerde Windows-machine. Het doet dit door misbruik te maken van de Windows Portable Device API. Voordat alle alarmbellen luiden, zijn ESET-onderzoekers van mening dat deze functie momenteel nog in ontwikkeling is, maar beheerders moeten er nog steeds van op de hoogte worden gebracht dat dit mogelijk is en maatregelen moeten nemen om hun IT-infrastructuur te versterken.

Onderzoekers stelden vast dat de functie nog in ontwikkeling was op basis van verschillende factoren, waaronder het gebruik van een hardgecodeerd pad met een gebruikersnaam die waarschijnlijk niet bestaat op de computer van het slachtoffer; ontbrekende variabele-initialisatie, wat betekent dat wordt aangenomen dat sommige variabelen nul zijn, of dat er niet naar wordt verwezen als pointers zonder initialisatie; en ontbrekende extensiefiltering was aanwezig in het codevoorbeeld.


Een van de interessantere aspecten van deze functie die in ontwikkeling is, is de mogelijkheid om de beveiliging van het Google-account van een slachtoffer te verlagen door gerelateerde instellingen te wijzigen. Dit kan mogelijk door de aanvallers worden gebruikt om de toegang tot het account van het slachtoffer voor een langere periode te behouden. Onderzoekers ontdekten drie versies van Dolphin, waarbij de functie om toegang te krijgen tot de Google-instelling van het slachtoffer in latere versies werd verwijderd, mogelijk vanwege het vermogen van Google om kwaadwillende toegang tot gebruikersaccounts te detecteren en te voorkomen. Hoewel het erop lijkt dat de functie is verlaten, kan met enige zekerheid worden gezegd dat deze functie niet meer zal opduiken in latere versies die op het moment van schrijven in het wild zouden kunnen zijn.

Samengevat

Dolphin is een andere toevoeging aan het uitgebreide arsenaal van ScarCruft aan backdoors die misbruik maken van cloudopslagdiensten. Nadat het op geselecteerde doelen is ingezet, doorzoekt het de schijven van gecompromitteerde systemen op interessante bestanden en exfiltreert deze naar Google Drive. Een ongebruikelijke mogelijkheid die in eerdere versies van de achterdeur werd aangetroffen, is de mogelijkheid om de instellingen van de Google- en Gmail-accounts van slachtoffers te wijzigen om hun beveiliging te verlagen, vermoedelijk om accounttoegang voor de bedreigingsactoren te behouden. Tijdens analyse van meerdere versies van de Dolphin-achterdeur zag men een voortdurende ontwikkeling en pogingen om detectie te omzeilen.