Anchor
Os atores de ameaças motivadas financeiramente continuam a experimentar novas famílias de malware que geralmente acabam sendo usadas em combinação com cavalos de Troia conhecidos, como o TrickBot. O Trojan bancário do TrickBot é percebido como uma das ameaças virtuais mais ativas de 2019 e foi usado recentemente em ataques contra dispositivos de ponto de venda pertencentes a vários fornecedores ao redor do mundo. O que se destaca nessa campanha recente é que ela envolveu o uso de uma família de malware que não era vista anteriormente - a ameaça funciona como um Trojan de backdoor e depende do protocolo DNS para se comunicar com seu servidor de Comando e Controle. A ameaça recebeu o nome de Anchor, e uma inspeção mais detalhada do seu código-fonte revelou que ele havia sido usado em outros ataques que ocorreram nos últimos 12 meses.
O Backdoor do Anchor Depende do Protocolo DNS para Receber Comandos
O backdoor Anchor não é especial em termos de recursos que certamente oferece suporte - fornece a seus operadores as habilidades básicas para executar comandos remotos, além de buscar arquivos de um URL e executá-los no host comprometido. No entanto, há uma coisa no backdoor Anchor que o torna melhor do que ameaças semelhantes - ele usa o protocolo DNS para recuperar comandos do servidor de controle. Esse é um dos principais motivos pelos quais o backdoor Anchor conseguiu permanecer despercebido por tanto tempo - as comunicações DNS são filtradas por soluções de firewall e produtos antivírus raramente, pois isso costuma interferir nas conexões usadas por software legítimo. Ao usar exclusivamente o protocolo DNS, o backdoor Anchor pode funcionar sem gerar tráfego de rede ruidoso que seria facilmente detectado por ferramentas automatizadas.
Um dos possíveis suspeitos por trás da mais recente campanha do Trojan.TrickBot e Anchor é o FIN6, um ator de ameaças motivado financeiramente que está envolvido em ataques contra dispositivos de ponto de venda em todo o mundo regularmente.
Atores de ameaças motivadas financeiramente continuam a fraudar negócios de dezenas de milhões de dólares a cada ano. O FIN6 é um dos mais notórios grupos de crimes cibernéticos, mas há muitos outros que aguardam a chance de receber o dinheiro de empresas em todo o mundo - é importante proteger a rede da sua empresa com o uso de uma segurança de computador atualizada e respeitáveis produtos.
