Malware YamaBot Empregado pelo Grupo Lazarus

YamaBot é o nome de um malware, empregado pelo agente de ameaças que atende pelo nome de grupo Lazarus.

O YamaBot também é conhecido pelo nome Kaos e é escrito e compilado na linguagem de programação Go - uma escolha cada vez mais popular entre os autores de malware.

O malware pode se comunicar com sua infraestrutura de servidor de comando e controle usando comandos criptografados e solicitações HTTP. O malware pode enviar e receber informações sobre o nome do host do sistema infectado, o endereço MAC e o nome de usuário atual.

As ferramentas disponíveis para o malware mudam dependendo da plataforma subjacente na qual ele foi implantado. As instâncias do YamaBot direcionadas a máquinas Linux usam apenas comandos shell por meio de /bin/sh, enquanto as instâncias direcionadas a sistemas Windows usam vários comandos diferentes que podem obter informações de diretório e arquivo, baixar arquivos, executar strings usando comandos shell e excluir YamaBot.

A versão do malware para Windows foi chamada internamente de YamaBot por seus autores e as versões direcionadas ao Linux são chamadas internamente de Kaos.

Pesquisadores de segurança estão alertando contra ataques usando o malware YamaBot, pois o Lazarus é um ator de ameaças proeminente e perigoso.

August 5, 2022