FIN8-hackergroep gebruikt nieuwe White Rabbit-malware
Trend Micro-experts bestudeerd een voorbeeld van de nieuwe White Rabbit-malware die is verkregen tijdens een onderzoek naar een aanval op een Amerikaanse bank in december 2021. Blijkbaar, deze malware kan deel uitmaken van een nevenoperatie van de FIN8-hackergroep.
FIN8 is actief sinds in ieder geval januari 2016 en staat bekend om zijn aanvallen op de detailhandel, restaurants, gastvrijheid, en gezondheidszorg om betaalkaartgegevens van kassasystemen te stelen. Door de jaren heen, onderzoekers hebben een verscheidenheid aan tools en tactieken waargenomen in het arsenaal van FIN8, variërend van verschillende POS-malware, inclusief BadHatch, PoSlurp (PunchTrack), PowerSniff (PunchBuggy, ShellThee), tot zero-day kwetsbaarheden en gerichte phishing.
Het uitvoerbare bestand van de nieuwe malware is een klein 100 kb laadvermogen. Er moet een wachtwoord worden ingevoerd om de kwaadaardige lading te ontsleutelen. Het is opmerkelijk dat hetzelfde wachtwoord eerder werd gebruikt bij het werk van andere ransomware, inclusief Egregor, MegaCortex en SamSam.
Eenmaal gestart met het juiste wachtwoord, de ransomware scant alle mappen op het apparaat en versleutelt de doelbestanden, een losgeldbrief maken voor elk versleuteld bestand. De notitie informeert het slachtoffer dat hun bestanden zijn gestolen en versleuteld, en de aanvallers dreigen de gestolen gegevens te publiceren of te verkopen als hun eisen niet worden ingewilligd.
Bewijs van bestandsdiefstal wordt geüpload naar services zoals plakken[.]com en bestand[.]I, en slachtoffers worden aangemoedigd om contact op te nemen met de hackers via een speciale site op het dark web.
Experts merken op dat bewijs van een verband tussen FIN8 en wit konijn wordt zelfs ontdekt in het stadium van ransomware-implementatie. Zo, de malware gebruikt een nieuwe en voorheen onbekende versie van de Badhatch-achterdeur (ook gekend als sardonisch) geassocieerd met FIN8.
Hoewel de White Rabbit-aanvallen pas recent de aandacht van experts hebben getrokken en slechts enkele organisaties hebben getroffen, het lijkt erop dat de hackeractiviteit al in juli begon 2021.
Misschien ben je ook geïnteresseerd om te weten wat? Linux-malware, CronRAT, verstopt zich in een cronjob met onjuiste datums, en wat Nieuw MeesterFred malware doelen Netflix, Instagram en tjilpen gebruikers.