BADHATCH
Os grupos de hackers com motivação financeira estão entre os assuntos mais interessantes para os pesquisadores de malware, pois são conhecidos por empregar técnicas avançadas de ofuscação e anti-depuração em seus projetos. No entanto, o grupo FIN8 surpreendeu os pesquisadores com o lançamento de um malware bastante interessante que nem tenta evitar caixas de proteção ou outros ambientes virtualizados usados para depuração de malware.
O FIN8 Usa Emails de Spear-Phishing para Levar o BADHATCH aos Alvos
O malware em questão é chamado BADHATCH e é provável que seja entregue por e-mail com spear phishing que contém um documento que os destinatários provavelmente consideram importante. No entanto, o documento é simplesmente uma isca para um script incorporado do PowerShell que visa descompactar o malware BADHATCH e inicializá-lo. Para que isso ocorra, o destinatário deve permitir que o Microsoft Office execute scripts de macro - é aí que os atacantes podem usar técnicas de engenharia social para convencê-los de que precisam permitir que isso visualize o conteúdo do documento.
O BADHATCH pode Causar o Roubo de Informações e Malware que Digitalizam a Memória
O script do PowerShell em questão é codificado via base64, provavelmente em uma tentativa de evitar os programas anti-vírus. No entanto, esse é um truque simples de ofuscação, e qualquer aplicativo anti-malware respeitável deve ser capaz de detectar facilmente um trecho de código suspeito. Depois que o BADHATCH for implantado com sucesso, ele poderá se conectar ao servidor de controle do invasor e aguardar as instruções. Parece que o BADHATCH serve como um shell reverso que permite que os atacantes executem comandos remotos no host comprometido. É provável que eles usem essa oportunidade para coletar detalhes do sistema, bem como instalar cargas úteis adicionais no host comprometido. Uma das campanhas que envolvem o BADHATCH também envolveu outra ferramenta criada pelo FIN8 - o raspador de memória PoSlurp, que procura detalhes financeiros.