Después de permanecer inactivo durante dos años, el grupo de cibercrimen FIN8 reapareció con una nueva campaña dirigida a robar datos de tarjetas de crédito lo que muestra que el grupo continúa evolucionando y adaptando sus herramientas, según un nuevo informe del equipo de investigación de amenazas aplicadas (ATR) de Gigamon. El equipo descubrió un nuevo malware de shell inverso denominado BADHATCH mientras analizaba variantes de ShellTea y el malware de scraper de memoria PoSlurp, nombrados como ShellTea.B y PoSlurp.B
El FIN8 es un grupo de amenazas con motivación financiera que se observó por primera vez en 2016. El grupo se especializa en campañas personalizadas de phishing dirigidas a las industrias minoristas, de restaurantes y de hospitalidad. Normalmente, la infección inicial comienza con una campaña de correo electrónico malintencionado, utilizando archivos adjuntos de documentos de Microsoft Word con el objetivo de atraer al usuario para que habilite las macros. Estas macros ejecutan un comando de PowerShell que descarga un segundo script de PowerShell que contiene el código de shell de la primera etapa de un programa de descarga, denominado PowerSniff (también conocido como PUNCHBUGGY).
La nueva herramienta descrita en el informe de Gigamon comparte similitudes con PowerSniff, pero también contiene una serie de nuevas capacidades, como el uso de un protocolo de comunicación de comando y control diferente y una capacidad adicional para inyectar comandos en los procesos, así como la flexibilidad para más herramientas. para ser añadido en una fecha posterior si es necesario.
“El ejemplo BADHATCH comienza con un script de PowerShell que se elimina automáticamente y que contiene una matriz de bytes grande de código de shell de 64 bits que se copia en la memoria del proceso de PowerShell y se ejecuta con una llamada a CreateThread. Esta secuencia de comandos difiere ligeramente de las muestras informadas públicamente en que los comandos que siguen a la matriz de bytes están codificados en base64, posiblemente para evadir productos de seguridad. Mientras que los análisis anteriores vieron a PowerSniff descargarse de fuentes en línea y ejecutarse, los partner de respuesta a incidentes de Gigamon ATR registraron a los atacantes lanzando el script inicial de PowerShell a través de WMIC ", escribieron los investigadores.
Además del comportamiento de la red, BADHATCH se diferencia de PowerSniff en que no contiene ningún método para la detección de sandbox o las funciones de anti-análisis aparte de algunas ofuscaciones leves. No incluye ninguno de los controles ambientales para evaluar si se está ejecutando en posibles sistemas de educación o atención médica y no tiene mecanismos de persistencia incorporados y observados a largo plazo.
ShellTea es un implante residente en la memoria que puede descargar y ejecutar código adicional. Sirve como punto de apoyo oculto en la red víctima, lo que permite al grupo FIN8 implementar cargas útiles adicionales. Otra muestra analizada, el malware PoSlurp, parece ser el componente más importante en el kit de herramientas FIN8, ya que recupera los números de las tarjetas de crédito a medida que pasan a través de los sistemas de procesamiento de tarjetas de pago.
“Este algoritmo define números de tarjeta de crédito válidos, y la mayoría de los scraper verifican los números de tarjeta en su contra. En particular, PoSlurp no ejecuta el algoritmo Luhn en los números de tarjeta que recopila. La verificación puede realizarse fuera de línea, después de la exfiltración de los datos de la tarjeta, pero de cualquier manera, FIN8 conoce el entorno y PoSlurp apunta al software de procesamiento de la tarjeta directamente para indagar en ese lugar de memoria en vez de raspar arbitrariamente otra memoria de proceso ", explicaron los investigadores en su informe.
Fuente: https://www.cybersecurity-help.cz/blog/623.html
