Licenze multi-dispositivo (sconti per quantità)

Cambia regione

English Dansk Deutsch Español Français Italiano Nederlands Polski Português Svenska Türkçe हिन्दी 日本語 汉语 漢語
Threat Database Backdoors Sardonic Backdoor

Sardonic Backdoor

Entro Mezo nel Backdoors
Traduci in:
Italiano

La cybergang FIN8 è tornata con una nuova campagna di attacchi e nuove minacce malware nel suo arsenale. L'ultima vittima di questo attore di minacce finanziariamente motivato è un'organizzazione finanziaria statunitense, e più specificamente una banca. Come parte dell'attacco, FIN8 ha implementato una minaccia malware precedentemente sconosciuta soprannominata Sardonic.

FIN8 è in circolazione almeno dal 2016 e in quel periodo sono passati tra più periodi attivi seguiti da una relativa dormienza. Mentre sono inattivi, gli hacker di solito lavorano per aggiornare e migliorare il loro arsenale minaccioso. Il gruppo ha preso di mira le vittime di una vasta gamma di diversi settori industriali, tra cui vendita al dettaglio, sanità, intrattenimento, ristorazione e ospitalità. L'obiettivo di FIN8 è raccogliere i dati delle carte di pagamento dai sistemi POS della vittima.

Sardonic è ancora in fase di sviluppo

Nonostante sia utilizzato in un'operazione live contro un obiettivo prescelto, Sardonic non è una minaccia malware completamente completata, poiché mostra segni di essere ancora in fase di sviluppo attivo. Ciò non gli impedisce di essere una potente backdoor in grado di svolgere diverse attività dannose sui sistemi compromessi.

Scritto in C++, Sardonic consiste di diversi componenti che sembrano essere stati compilati subito prima dell'attacco. Come vettore di infezione iniziale, gli hacker molto probabilmente hanno utilizzato tattiche di ingegneria sociale e metodi di spear-phishing. Questa congettura è ulteriormente supportata dal fatto che il caricatore della fase iniziale, uno script di PowerShell, sembra essere stato copiato manualmente sui dispositivi violati.

La catena di attacco passa quindi attraverso altre due fasi che comportano la consegna automatica di un caricatore .NET e di un codice shell per il download, prima che venga eseguito il payload Sardonic finale. Una volta stabilita nel sistema, la minaccia può ottenere informazioni dal dispositivo, eseguire comandi arbitrari e distribuire payload malware aggiuntivi tramite un sistema di plug-in.

Tendenza

I più visti

Caricamento in corso...