GRIFFON
O GRIFFON é uma ameaça de malware que tem sido usada pelo FIN7, um grupo de hackers de alto perfil que tem sido responsável por inúmeros ataques em todo o mundo. O FIN7 está em operação desde pelo menos 2015 e tem sido responsável por ataques contra várias grandes empresas. As autoridades policiais monitoraram o FIN7 por algum tempo até encontrarem três ucranianos envolvidos nessa operação. Estes três indivíduos foram altamente classificados nesta organização e a sua detenção acabaria com a frequência de ataques FIN7. Entretanto, isso não aconteceu. Apenas alguns meses depois que esses indivíduos foram presos, a FIN7 lançou ataques devastadores, visando a 130 empresas diferentes.
Índice
Os Ataques do FIN7 que podem Envolver o GRIFFON
O FIN7 usa métodos bastante sofisticados para realizar os seus ataques. Eles criam empresas falsas e até contratam vários funcionários em várias funções. Os indivíduos que trabalham para as empresas FIN7 acreditam que estão trabalhando para uma empresa legítima, realizando operações de desenvolvimento de software, traduções, testes de penetração e tarefas semelhantes. No entanto, o FIN7 usará os seus recursos para implantar ataques de malware e executar uma variedade de táticas de alto perfil. O FIN7 usa muitas ferramentas de malware e hacking para realizar os seus ataques, um dos quais é o GRIFFON.
Por Que o Malware GRIFFON é Ameaçador
O GRIFFON geralmente não é usado sozinho. Em vez disso, os criminosos vão implantar o ataque GRIFFON em conjunto com outras ameaças, muitas vezes usando diferentes estágios no ataque. O malware GRIFFON tem cargas de estágio secundário e parece incluir quatro módulos que são comumente usados nesses ataques. Os analistas de segurança de PC que estudaram o GRIFFON determinaram que essa ameaça possui os quatro módulos a seguir:
- O GRIFFON usa o Tinymet. O Tinymet é um Trojan Downloader, projetado para baixar outros malwares nos computadores das vítimas e ignorar as defesas do dispositivo afetado. O Tinymet é uma ferramenta comumente usada em muitos ataques do FIN7.
- O GRIFFON usa outro módulo que é uma parte fundamental do ataque, que é o seu módulo de captura de tela. Usando esse módulo, um invasor pode fazer capturas de tela do monitor do computador infectado e salvá-las no diretório Temp. Eles são enviados para o servidor de Comando e Controle do atacante no devido tempo e excluídos do computador afetado, uma vez descarregados, para apagar os vestígios do ataque do GRIFFON.
- O GRIFFON usa um módulo para coletar informações no computador infectado. Esse é um dos aspectos mais importantes do ataque do GRIFFON, permitindo que ele seja usado para espionagem e coleta de informações. O módulo de coleta de informações reúne informações sobre o dispositivo infectado e essencialmente as envia para os invasores.
- O GRIFFON, como muitas outras ameaças de malware, requer um módulo de persistência, um método para se manter ativo em um dispositivo infectado, mesmo se for reinicializado. O módulo de persistência foi adicionado mais tarde ao GRIFFON e só é ativado se a infecção do GRIFFON permitir que os criminosos determinem que o dispositivo infectado tem um valor alto e pode conter dados importantes que merecem ser coletados.
Os Servidores de Comando e Controle do GRIFFON
O GRIFFON requer sua infra-estrutura de servidor de Comando e Controle para realizar ataques efetivos, baixar outros dados, receber instruções e retransmitir informações sobre os dispositivos infectados para seus controladores. Os domínios de Comando e Controle associados aos ataques do GRIFFON geralmente serão disfarçados usando nomes de domínio que parecem estar conectados a empresas e serviços de software legítimos. Por exemplo, os servidores de Comando e Controle do GRIFFON estão associados a duas URLs que incluem Servicebing-cdn.com e Logitech-cdn.com.
