Gli hacker di FIN8 usano la backdoor sardonica per prendere di mira le istituzioni finanziarie
Gli attori delle minacce hanno motivazioni e obiettivi diversi. Alcuni di loro lavorano per il miglior offerente, mentre altri si concentrano sullo spionaggio e sull'esfiltrazione di dati. Ci sono anche quelli come FIN8, attori di minacce la cui motivazione è puramente finanziaria. In genere, questi gruppi di criminalità informatica perseguono aziende in individui che operano in settori redditizi come l'ospitalità, i ristoranti e la vendita al dettaglio. Il gruppo FIN8 è uno dei più famosi attori di minacce con motivazioni finanziarie e, di recente, ha scatenato una nuova minaccia chiamata Sardonic Backdoor.
In precedenza, il gruppo FIN8 ha utilizzato altri malware personalizzati, come PoSlurp e BADHATCH. Questa volta, tuttavia, utilizzano un impianto molto più sofisticato. La Sardonic Backdoor è ricca di funzionalità e, sorprendentemente, il suo obiettivo è un'importante organizzazione finanziaria con sede negli Stati Uniti. Tuttavia, è probabile che gli hacker di FIN8 stiano pianificando di espandere le loro operazioni nel prossimo futuro. Proprio come nelle loro campagne passate, i criminali mirano ancora una volta a diffondersi lateralmente attraverso la rete. Il loro obiettivo finale è compromettere i dispositivi del punto vendita (PoS) ed esfiltrare i dati delle carte di pagamento.
C++ Sardonic Backdoor ruba dati finanziari
Il payload di Sardonic Backdoor è scritto in C++ ed è probabile che i criminali utilizzino tattiche di spearphishing e ingegneria sociale per consegnarlo ai loro obiettivi. Per quanto riguarda le caratteristiche di questo Trojan, può:
- Esegui comandi remoti e restituisci l'output al server dell'attaccante.
- Raccogliere dati hardware, software e di rete sull'host infetto.
- La struttura modulare di Sardonic Backdoor consente ai suoi operatori di estendere la sua funzionalità al volo.
La portata dell'attacco Sardonic Backdoor Trojan non è ancora chiara e la situazione è ancora in via di sviluppo. Naturalmente, ciò significa che le aziende nei settori dell'ospitalità, della ristorazione e della vendita al dettaglio devono adottare misure preventive per identificare e fermare l'impianto dannoso. Insegnare ai dipendenti come navigare in sicurezza sul Web e investire in una protezione affidabile degli endpoint dovrebbe essere sufficiente per mitigare gli attacchi dannosi come quello in questione.