Skupina hackerů FIN8 používá nový malware White Rabbit
Odborníci Trend Micro studoval vzorek nového malwaru White Rabbit získaný během vyšetřování útoku na americkou banku v prosinci 2021. Zřejmě, tento malware může být součástí vedlejší operace skupiny hackerů FIN8.
FIN8 je aktivní minimálně od ledna 2016 a je známý tím, že útočí na maloobchod, restaurace, pohostinství, a zdravotnictví ke krádeži dat platebních karet z POS systémů. V průběhu let, výzkumníci pozorovali různé nástroje a taktiky v arzenálu FIN8, od různého malwaru POS, počítaje v to BadHatch, PoSlurp (PunchTrack), PowerSniff (PunchBuggy, ShellTea), na zero-day zranitelnosti a cílený phishing.
Spustitelný soubor nového malwaru je malý 100 kb užitečné zatížení. K dešifrování škodlivého obsahu vyžaduje zadání hesla. Je pozoruhodné, že stejné heslo bylo dříve použito v práci jiného ransomwaru, počítaje v to Egregor, MegaCortex a SamSam.
Po spuštění se správným heslem, ransomware prohledá všechny složky v zařízení a zašifruje cílové soubory, vytvoření poznámky o výkupném pro každý zašifrovaný soubor. Poznámka informuje oběť, že její soubory byly ukradeny a zašifrovány, a útočníci vyhrožují zveřejněním nebo prodejem odcizených dat, pokud nebudou splněny jejich požadavky.
Důkazy o krádeži souboru se nahrávají do služeb, jako je pasta[.]com a soubor[.]já, a oběti jsou vyzývány, aby kontaktovaly hackery prostřednictvím speciální stránky na temném webu.
Odborníci poznamenávají, že důkaz o spojení mezi FIN8 a bílý králík je objeven i ve fázi nasazení ransomwaru. Tak, malware používá novou a dříve neznámou verzi backdoor Badhatch (také známý jako Sardonický) spojené s FIN8.
Přestože útoky Bílého králíka přitáhly pozornost odborníků teprve nedávno a podařilo se jim zasáhnout jen pár organizací, zdá se, že činnost hackerů začala již v červenci 2021.
Také by vás mohlo zajímat co Linuxový malware, CronRAT, se skrývá v úloze cron s nesprávnými daty, a co Nový Mistr Fred malwarové cíle Netflix, Instagram a Cvrlikání uživatelů.
