קבוצת האקרים FIN8 משתמשת בתוכנה זדונית חדשה של ארנב לבן
מומחי Trend Micro מְחוֹשָׁב דגימה של תוכנת הזדונית החדשה של ארנב לבן שהושגה במהלך חקירת התקפה על בנק אמריקאי בדצמבר 2021. ככל הנראה, תוכנה זדונית זו עשויה להיות חלק מפעולת צד של קבוצת ההאקרים FIN8.
FIN8 פעיל מאז ינואר לפחות 2016 וידוע בתקיפת קמעונאות, מסעדות, הכנסת אורחים, ושירותי בריאות לגניבת נתוני כרטיסי תשלום ממערכות קופה. במהלך השנים, חוקרים צפו במגוון כלים וטקטיקות בארסנל של FIN8, החל מתוכנות זדוניות שונות POS, לְרַבּוֹת BadHatch, PoSlurp (PunchTrack), PowerSniff (PunchBuggy, ShellTea), ל פגיעות של יום אפס ו דיוג ממוקד.
קובץ ההפעלה של התוכנה הזדונית החדשה הוא קטן 100 מטען kb. זה דורש להזין סיסמה כדי לפענח את המטען הזדוני. ראוי לציין כי אותה סיסמה שימשה בעבר בעבודה של תוכנות כופר אחרות, לְרַבּוֹת אגרגור, MegaCortex ו סאם סאם.
לאחר ההפעלה עם הסיסמה הנכונה, תוכנת הכופר סורקת את כל התיקיות במכשיר ומצפינה את קבצי היעד, יצירת פתק כופר עבור כל קובץ מוצפן. הפתק מודיע לקורבן שהקבצים שלו נגנבו והוצפנו, והתוקפים מאיימים לפרסם או למכור את הנתונים הגנובים אם דרישותיהם לא ייענו.
עדויות על גניבת קבצים מועלות לשירותים כגון הדבק[.]com וקובץ[.]אני, וקורבנות מוזמנים ליצור קשר עם ההאקרים דרך אתר מיוחד ברשת האפלה.
מומחים מציינים כי עדויות לקשר בין FIN8 ו ארנב לבן מתגלה אפילו בשלב פריסת תוכנת הכופר. לכן, התוכנה הזדונית משתמשת בגרסה חדשה ולא ידועה בעבר של הדלת האחורית של Badhatch (ידוע גם כ צִינִי) קשור ל-FIN8.
למרות שהתקפות הארנב הלבן משכו את תשומת לבם של מומחים רק לאחרונה והצליחו להשפיע רק על ארגונים בודדים, נראה שפעילות האקרים החלה כבר ביולי 2021.
אולי יעניין אותך גם לדעת מה תוכנות זדוניות של לינוקס, CronRAT, מסתתר בעבודת קרון עם תאריכים שגויים, ומה חָדָשׁ מאסטר פרד מטרות תוכנה זדונית נטפליקס, אינסטגרם ו טוויטר משתמשים.
