Le groupe de hackers FIN8 utilise le nouveau malware White Rabbit
Experts Trend Micro étudié un échantillon du nouveau logiciel malveillant White Rabbit obtenu lors d'une enquête sur une attaque contre une banque américaine en décembre 2021. Apparemment, ce malware peut faire partie d'une opération parallèle du groupe de hackers FIN8.
FIN8 est actif depuis au moins janvier 2016 et est connu pour attaquer le commerce de détail, Restaurants, hospitalité, et les soins de santé pour voler les données des cartes de paiement des systèmes de point de vente. Au cours des années, les chercheurs ont observé une variété d'outils et de tactiques dans l'arsenal de FIN8, allant de divers logiciels malveillants POS, comprenant BadHatch, PoSlurp (PunchTrack), PowerSniff (PunchBuggy, ShellThé), à vulnérabilités zero-day et hameçonnage ciblé.
Le fichier exécutable du nouveau logiciel malveillant est un petit 100 charge utile en ko. Il nécessite la saisie d'un mot de passe pour décrypter la charge utile malveillante. Il est à noter que le même mot de passe était auparavant utilisé dans le travail d'autres ransomwares, comprenant Égrégore, MégaCortex et Sam Sam.
Une fois lancé avec le bon mot de passe, le ransomware analyse tous les dossiers de l'appareil et crypte les fichiers cibles, créer une note de rançon pour chaque fichier crypté. La note informe la victime que ses fichiers ont été volés et cryptés, et les attaquants menacent de publier ou de vendre les données volées si leurs demandes ne sont pas satisfaites.
La preuve du vol de fichiers est téléchargée vers des services tels que coller[.]com et fichier[.]je, et les victimes sont encouragées à contacter les pirates via un site spécial sur le dark web.
Les experts notent que la preuve d'un lien entre FIN8 et lapin blanc est découvert même au stade du déploiement du rançongiciel. Alors, le logiciel malveillant utilise une nouvelle version jusque-là inconnue de la porte dérobée Badhatch (aussi connu sous le nom Sardonique) associé à FIN8.
Bien que les attaques de White Rabbit n'aient attiré l'attention d'experts que récemment et n'aient touché que quelques organisations, il semble que l'activité des pirates ait commencé dès juillet 2021.
Vous pourriez également être intéressé de savoir ce que Malware Linux, CronRAT, se cache dans une tâche cron avec des dates incorrectes, et quoi Nouveau MaîtreFred cibles de logiciels malveillants Netflix, Instagram et Gazouillement utilisateurs.