FIN8 hackergruppe bruker ny skadelig programvare fra White Rabbit

Helga Smithjanuar 19, 2022Sist oppdatert: januar 20, 2022
121 1 minutt lest

Trend Micro-eksperter studert et utvalg av den nye White Rabbit malware innhentet under en etterforskning av et angrep på en amerikansk bank i desember 2021. Tilsynelatende, denne skadevaren kan være en del av en sideoperasjon av FIN8-hackergruppen.

FIN8 har vært aktiv siden i hvert fall januar 2016 og er kjent for å angripe detaljhandel, restauranter, gjestfrihet, og helsetjenester for å stjele betalingskortdata fra POS-systemer. I løpet av årene, forskere har observert en rekke verktøy og taktikker i FIN8s arsenal, alt fra ulike POS-skadevare, gjelder også BadHatch, PoSlurp (PunchTrack), PowerSniff (PunchBuggy, ShellTea), til nulldagssårbarheter og målrettet phishing.

Den kjørbare filen til den nye malware er en liten 100 kb nyttelast. Det krever at et passord oppgis for å dekryptere den ondsinnede nyttelasten. Det er bemerkelsesverdig at det samme passordet tidligere ble brukt i arbeidet med andre løsepengeprogrammer, gjelder også Egregor, MegaCortex og SamSam.

Når den er startet med riktig passord, løsepengevaren skanner alle mapper på enheten og krypterer målfilene, opprette en løsepenger for hver kryptert fil. Notatet informerer offeret om at filene deres ble stjålet og kryptert, og angriperne truer med å publisere eller selge de stjålne dataene hvis deres krav ikke blir oppfylt.

Vi vil også sende data [om hva som skjedde] til alle interesserte reguleringsorganisasjoner og media.legger hackerne til.

ny malware White Rabbit

Bevis på filtyveri lastes opp til tjenester som lim[.]com og fil[.]Jeg, og ofre oppfordres til å kontakte hackerne gjennom en spesiell side på det mørke nettet.

Eksperter bemerker at bevis på en sammenheng mellom FIN8 og hvit kanin oppdages selv på stadiet med utplassering av løsepengevare. Så, skadelig programvare bruker en ny og tidligere ukjent versjon av Badhatch-bakdøren (også kjent som Sardonisk) knyttet til FIN8.

Selv om White Rabbit-angrepene først nylig har tiltrukket seg oppmerksomhet fra eksperter og har klart å påvirke bare noen få organisasjoner, det ser ut til at hackeraktiviteten begynte allerede i juli 2021.

Gitt at FIN8 først og fremst er kjent for sine infiltrasjons- og rekognoseringsverktøy, det er sannsynlig at gruppen utvider sitt arsenal til å inkludere løsepengevare. White Rabbit har hatt få skader så langt, men dette kan bety at hackerne fortsatt tester vannet eller forbereder seg på et storstilt angrep.Trend Micro sa.

Du kan også være interessert i å vite hva Linux malware, CronRAT, gjemmer seg i en cron-jobb med feil datoer, og hva Ny MasterFred malware mål Netflix, Instagram og Twitter brukere.

Merker
Helga Smithjanuar 19, 2022Sist oppdatert: januar 20, 2022
121 1 minutt lest

Helga Smith

Jeg var alltid interessert i datavitenskap, spesielt datasikkerhet og temaet, som kalles i våre dager "datavitenskap", siden min tidlige tenåring. Før du kommer inn i Virusfjerningsteamet som sjefredaktør, Jeg jobbet som cybersikkerhetsekspert i flere selskaper, inkludert en av Amazons entreprenører. Nok en opplevelse: Jeg har undervisning på universitetene i Arden og Reading.

Legg igjen et svar

Denne siden bruker Akismet å redusere spam. Lær hvordan din kommentar data behandles.

Tilbake til toppen