Sardonic Backdoor

A cybergang FIN8 está de volta com uma nova campanha de ataque e novas ameaças de malware em seu arsenal. A última vítima desse ator de ameaça com motivação financeira é uma organização financeira dos Estados Unidos e, mais especificamente, um banco. Como parte do ataque, o FIN8 implantou uma ameaça de malware anteriormente desconhecida, chamada de Sardonic.

O FIN8 existe desde pelo menos 2016 e nesse período alternou entre vários períodos ativos seguidos de dormência relativa. Enquanto inativos, os hackers geralmente trabalham para atualizar e melhorar seu arsenal ameaçador. O grupo tem como alvo vítimas de um grande conjunto de diferentes setores da indústria, incluindo varejo, saúde, entretenimento, restaurante e hospitalidade. O objetivo do FIN8 é coletar dados de cartão de pagamento dos sistemas de POS da vítima.

O Sardonic Ainda está em Desenvolvimento

Apesar de ser usado em uma operação ao vivo contra um alvo escolhido, o Sardonic não é uma ameaça de malware totalmente concluída, pois dá sinais de ainda estar em desenvolvimento ativo. Isso não o impede de ser uma porta dos fundos potente, capaz de realizar várias atividades prejudiciais nos sistemas comprometidos.

Escrito em C ++, o Sardonic consiste em vários componentes que parecem ter sido compilados logo antes do ataque. Como um vetor de infecção inicial, os hackers provavelmente usaram táticas de engenharia social e métodos de spear-phishing. Essa conjectura é ainda suportada pelo fato de que o carregador de estágio inicial - um script do PowerShell, parece ter sido copiado para os dispositivos violados manualmente.

A cadeia de ataque então passa por outras duas fases envolvendo a entrega automática de um carregador .NET e um código de shell do downloader, antes que a carga sardônica final seja executada. Uma vez estabelecida no sistema, a ameaça pode obter informações do dispositivo, executar comandos arbitrários e implantar cargas úteis de malware adicionais por meio de um sistema de plug-in.