กลุ่มแฮ็กเกอร์ FIN8 ใช้มัลแวร์ White Rabbit ใหม่
ผู้เชี่ยวชาญของเทรนด์ไมโคร ศึกษา ตัวอย่างมัลแวร์ White Rabbit ใหม่ที่ได้รับระหว่างการสอบสวนการโจมตีธนาคารสหรัฐในเดือนธันวาคม 2021. เห็นได้ชัดว่า, มัลแวร์นี้อาจเป็นส่วนหนึ่งของการดำเนินการด้านข้างของกลุ่มแฮ็กเกอร์ FIN8.
FIN8 มีการใช้งานตั้งแต่อย่างน้อยเดือนมกราคม 2016 และเป็นที่รู้จักในด้านการโจมตีการค้าปลีก, ร้านอาหาร, การต้อนรับ, และการดูแลสุขภาพเพื่อขโมยข้อมูลบัตรชำระเงินจากระบบ POS. นานนับปี, นักวิจัยได้สังเกตเครื่องมือและยุทธวิธีต่างๆ ในคลังแสงของ FIN8, ตั้งแต่มัลแวร์ POS ต่างๆ, รวมทั้ง แบดแฮทช์, โพสเลอป (PunchTrack), พาวเวอร์สนิฟ (พันช์บัคกี้, เชลล์ที), ถึง ช่องโหว่แบบซีโร่เดย์ และ ฟิชชิ่งแบบกำหนดเป้าหมาย.
ไฟล์ปฏิบัติการของมัลแวร์ตัวใหม่มีขนาดเล็ก 100 เพย์โหลดกิโลไบต์. ต้องใช้รหัสผ่านเพื่อถอดรหัสเพย์โหลดที่เป็นอันตราย. เป็นที่น่าสังเกตว่าก่อนหน้านี้เคยใช้รหัสผ่านเดียวกันในการทำงานของแรนซัมแวร์อื่น, รวมทั้ง เอเกรเกอร์, เมกะคอร์เท็กซ์ และ แซมแซม.
เมื่อเปิดตัวด้วยรหัสผ่านที่ถูกต้อง, แรนซัมแวร์จะสแกนโฟลเดอร์ทั้งหมดบนอุปกรณ์และเข้ารหัสไฟล์เป้าหมาย, สร้างบันทึกเรียกค่าไถ่สำหรับไฟล์ที่เข้ารหัสแต่ละไฟล์. บันทึกแจ้งให้เหยื่อทราบว่าไฟล์ของพวกเขาถูกขโมยและเข้ารหัส, และผู้โจมตีขู่ว่าจะเผยแพร่หรือขายข้อมูลที่ถูกขโมยหากไม่สามารถตอบสนองความต้องการได้.
หลักฐานการโจรกรรมไฟล์จะถูกอัปโหลดไปยังบริการต่างๆ เช่น เพสต์[.]com และไฟล์[.]ไอโอ, และสนับสนุนให้เหยื่อติดต่อกับแฮกเกอร์ผ่านเว็บไซต์พิเศษบนเว็บมืด.
ผู้เชี่ยวชาญสังเกตว่าหลักฐานของความเชื่อมโยงระหว่าง FIN8 และ กระต่ายสีขาว ถูกค้นพบแม้ในขั้นตอนของการติดตั้งแรนซัมแวร์. ดังนั้น, มัลแวร์ใช้แบ็คดอร์ Badhatch เวอร์ชันใหม่ที่ไม่รู้จักก่อนหน้านี้ (ยังเป็นที่รู้จักกันในนาม เสียดสี) เกี่ยวข้องกับ FIN8.
แม้ว่าการโจมตีของ White Rabbit จะได้รับความสนใจจากผู้เชี่ยวชาญเมื่อไม่นานมานี้ และส่งผลกระทบต่อองค์กรเพียงไม่กี่แห่งเท่านั้น, ดูเหมือนว่ากิจกรรมของแฮ็กเกอร์จะเริ่มตั้งแต่ต้นเดือนกรกฎาคม 2021.
คุณอาจสนใจที่จะรู้ว่าอะไร มัลแวร์ลินุกซ์, CronRAT, กำลังซ่อนอยู่ในงาน cron โดยมีวันที่ไม่ถูกต้อง, และอะไร ใหม่ มาสเตอร์เฟรด เป้าหมายมัลแวร์ เน็ตฟลิกซ์, อินสตาแกรม และ ทวิตเตอร์ ผู้ใช้.
