O grupo de malware bancário FIN8 abre outro backdoor para um ataque direcionado com o Sardonic. Os especialistas da Bitdefender descobriram componentes de backdoor em um ataque direcionado a uma organização financeira dos EUA e os apelidaram de "Sardonic".
O grupo FIN8 continua a expandir seu arsenal de malware: como parte de uma investigação forense, os especialistas do Bitdefender Labs descobriram um novo componente backdoor em um ataque direcionado a uma organização financeira dos EUA e o nomearam “Sardônico”: os artefatos forenses indicam que os autores são avançando com um projeto maior com esse nome que consiste no novo backdoor, no carregador e em outros scripts. O novo backdoor abre inúmeras funções para os invasores. Com a ajuda deles, os invasores podem implantar imediatamente novos malwares em tempo real, sem precisar atualizar os componentes. Foi apenas em março deste ano que os especialistas do Bitdefender Labs descobriram outro backdoor FIN8 com o BADHATCH.
A FIN8 tem como alvo o setor bancário desde 2016
As atividades FIN2016 observadas desde janeiro de 8 lançam principalmente ataques de "vida da terra" contra serviços financeiros e sistemas de ponto de venda (POS). Eles usam ferramentas e interfaces integradas, como PowerShell ou WMI. Os hackers também abusam de serviços legítimos como sslip.io para disfarçar as atividades do malware.
Infecção e modo de ação do Sardonic
O vetor de infecção original não pode ser determinado com exatidão. Mas há muitas indicações de que o Sardonic, como os outros ataques FIN2016 observados desde janeiro de 8, usa técnicas de engenharia social e campanhas de spear phishing para inicialmente entrar na web.
Assim que o backdoor é implementado pelo Sardonic Loader, a ferramenta garante sua persistência na rede da vítima. O malware então começa a coletar informações sobre a rede e o domínio (usuários e controladores de domínio). DLLs especialmente desenvolvidas pelos invasores podem ser carregadas e executadas usando um sistema de plug-in. Outros movimentos laterais servem, entre outras coisas, para a escalada não autorizada de privilégios. A comunicação com o servidor de comando e controle dos invasores ocorre na porta 443. As funções individuais diferem no estilo de codificação e no uso da biblioteca padrão C++. Estes são sinais de que várias pessoas estão envolvidas no desenvolvimento do Sardonic.
Proteção total recomendada
Para se defender desses ataques, as empresas precisam de uma combinação abrangente de tecnologias de defesa com ferramentas de prevenção, detecção e resposta que monitorem o que está acontecendo na TI corporativa. Basicamente, as empresas devem separar suas redes de PDV das redes de funcionários, parceiros e convidados. O Email Security detecta anexos suspeitos que fazem parte de uma campanha de phishing. Igualmente central é um SIEM ou inteligência de ameaças integrada a outras soluções. Empresas de pequeno e médio porte que também são alvo de tais ataques devem usar serviços gerenciados de detecção e resposta. Em última análise, apenas estes oferecem proteção real e sustentável contra ataques como os lançados pelo FIN8, que podem funcionar em segredo por vários meses após a penetração. Mais informações sobre o Sardonic podem ser encontradas online em Bitdefender.
Mais em Bitdefender.com
Sobre o Bitdefender A Bitdefender é líder global em soluções de segurança cibernética e software antivírus, protegendo mais de 500 milhões de sistemas em mais de 150 países. Desde a sua fundação em 2001, as inovações da empresa fornecem regularmente excelentes produtos de segurança e proteção inteligente para dispositivos, redes e serviços em nuvem para clientes particulares e empresas. Como fornecedor preferido, a tecnologia da Bitdefender é encontrada em 38 por cento das soluções de segurança implantadas no mundo e é confiável e reconhecida por profissionais da indústria, fabricantes e clientes. www.bitdefender.de