FIN8 hackergrupp använder ny skadlig programvara från White Rabbit

Helga Smithjanuari 19, 2022Senast uppdaterad: januari 20, 2022
121 1 läst minut

Trend Micro-experter studerat ett prov av den nya White Rabbit malware som erhölls under en utredning av en attack mot en amerikansk bank i december 2021. Tydligen, denna skadliga programvara kan vara en del av en sidooperation av hackergruppen FIN8.

FIN8 har varit aktiv sedan åtminstone januari 2016 och är känd för att attackera detaljhandeln, restauranger, gästfrihet, och sjukvård för att stjäla betalkortsdata från kassasystem. Över åren, forskare har observerat en mängd olika verktyg och taktiker i FIN8:s arsenal, allt från olika POS-skadliga program, Inklusive BadHatch, PoSlurp (PunchTrack), PowerSniff (PunchBuggy, ShellTea), till nolldagars sårbarheter och riktat nätfiske.

Den körbara filen för den nya skadliga programvaran är en liten 100 kb nyttolast. Det kräver att ett lösenord anges för att dekryptera den skadliga nyttolasten. Det är anmärkningsvärt att samma lösenord tidigare användes i arbetet med andra ransomware, Inklusive Egregor, MegaCortex och SamSam.

När den har startat med rätt lösenord, ransomwaren skannar alla mappar på enheten och krypterar målfilerna, skapa en lösennota för varje krypterad fil. Anteckningen informerar offret om att deras filer var stulna och krypterade, och angriparna hotar att publicera eller sälja den stulna informationen om deras krav inte uppfylls.

Vi skickar även data [om vad som hände] till alla intresserade tillsynsorganisationer och media.lägger hackarna till.

ny malware White Rabbit

Bevis på filstöld laddas upp till tjänster som klistra in[.]com och fil[.]jag, och offren uppmuntras att kontakta hackarna via en speciell sajt på den mörka webben.

Experter noterar att bevis på ett samband mellan FIN8 och vit kanin upptäcks även i skedet av utplacering av ransomware. Så, skadlig programvara använder en ny och tidigare okänd version av Badhatch-bakdörren (också känd som Hånfull) associerad med FIN8.

Även om attackerna med vit kanin först nyligen har uppmärksammats av experter och bara har lyckats påverka ett fåtal organisationer, Det verkar som om hackeraktiviteten började redan i juli 2021.

Med tanke på att FIN8 är känd främst för sina infiltrations- och spaningsverktyg, det är troligt att gruppen utökar sin arsenal till att omfatta ransomware. White Rabbit har haft få offer hittills, men det kan innebära att hackarna fortfarande testar vattnet eller förbereder sig för en storskalig attack.Trend Micro sa.

Du kanske också är intresserad av att veta vad Linux skadlig kod, CronRAT, gömmer sig i ett cron-jobb med felaktiga datum, och vad Ny MasterFred skadliga mål Netflix, Instagram och Twitter användare.

Taggar
Helga Smithjanuari 19, 2022Senast uppdaterad: januari 20, 2022
121 1 läst minut

Helga Smith

Jag var alltid intresserad av datavetenskap, särskilt datasäkerhet och temat, som kallas nuförtiden "datavetenskap", sedan mina tidiga tonåringar. Innan du kommer in i Virusborttagningsteamet som chefredaktör, Jag arbetade som cybersäkerhetsexpert i flera företag, inklusive en av Amazons entreprenörer. En annan upplevelse: Jag har undervisning vid universitet i Arden och Reading.

Lämna ett svar

Denna webbplats använder Akismet att minska mängden skräppost. Lär dig hur din kommentar data bearbetas.

Tillbaka till toppen