Hackers de FIN8 usam backdoor sardônico para visar instituições financeiras
Os atores da ameaça têm motivações e objetivos diferentes. Alguns deles estão trabalhando para o lance mais alto, enquanto outros se concentram em espionagem e exfiltração de dados. Existem também aqueles como FIN8, atores de ameaças cuja motivação é puramente financeira. Normalmente, esses grupos de crimes cibernéticos perseguem empresas de indivíduos que operam em setores lucrativos, como hospitalidade, restaurantes e varejo. O grupo FIN8 é um dos mais renomados atores de ameaças com motivação financeira e, recentemente, eles lançaram uma nova ameaça chamada de porta traseira sardônica.
Anteriormente, o grupo FIN8 colocou outro malware customizado para uso - como PoSlurp e BADHATCH. Desta vez, porém, eles estão usando um implante muito mais sofisticado. O Sardonic Backdoor é rico em recursos e, surpreendentemente, seu alvo é uma grande organização financeira com sede nos Estados Unidos. No entanto, é provável que os hackers FIN8 estejam planejando expandir suas operações em um futuro próximo. Assim como em suas campanhas anteriores, os criminosos estão mais uma vez com o objetivo de se espalhar lateralmente pela rede. Seu objetivo final é comprometer os dispositivos de ponto de venda (PoS) e exfiltrar os dados do cartão de pagamento.
C ++ Sardonic Backdoor rouba dados financeiros
A carga útil Sardonic Backdoor é escrita em C ++, e os criminosos provavelmente usarão táticas de spearphishing e engenharia social para entregá-la a seus alvos. Quanto aos recursos deste Trojan, ele pode:
- Execute comandos remotos e retorne a saída para o servidor do invasor.
- Reúna dados de hardware, software e rede sobre o host infectado.
- A estrutura modular do Sardonic Backdoor permite que seus operadores estendam sua funcionalidade em tempo real.
O escopo do ataque Sardonic Backdoor Trojan ainda não está claro e a situação ainda está se desenvolvendo. Naturalmente, isso significa que as empresas dos setores de hospitalidade, restaurante e varejo precisam tomar medidas preventivas para identificar e interromper o implante malicioso. Ensinar os funcionários sobre como navegar na Web com segurança e investir em proteção de endpoint confiável deve ser suficiente para mitigar ataques mal-intencionados como o em questão.