Licencias para múltiples dispositivos (descuentos por volumen)

Cambia región

English Dansk Deutsch Español Français Italiano Nederlands Polski Português Svenska Türkçe हिन्दी 日本語 汉语 漢語
Threat Database Backdoors Sardonic Backdoor

Sardonic Backdoor

Por Mezo en Backdoors
Traducir a:
Español

La banda cibernética FIN8 está de vuelta con una nueva campaña de ataque y nuevas amenazas de malware en su arsenal. La última víctima de este actor de amenazas con motivaciones financieras es una organización financiera estadounidense, y más específicamente un banco. Como parte del ataque, FIN8 ha implementado una amenaza de malware previamente desconocida denominada Sardonic.

FIN8 ha existido desde al menos 2016 y en ese período ha cambiado entre múltiples períodos activos seguidos de una inactividad relativa. Mientras están inactivos, los piratas informáticos suelen trabajar para actualizar y mejorar su arsenal amenazante. El grupo se ha dirigido a víctimas de un gran conjunto de diferentes sectores industriales, incluidos el comercio minorista, la salud, el entretenimiento, la restauración y la hostelería. El objetivo de FIN8 es recopilar datos de tarjetas de pago de los sistemas POS de la víctima.

Sardonic aún está en desarrollo

A pesar de ser utilizado en una operación en vivo contra un objetivo elegido, Sardonic no es una amenaza de malware completamente completada, ya que muestra signos de que todavía está en desarrollo activo. Eso no impide que sea una puerta trasera potente capaz de llevar a cabo varias actividades dañinas en los sistemas comprometidos.

Escrito en C ++, Sardonic consta de varios componentes que parecen haber sido compilados justo antes del ataque. Como vector de infección inicial, lo más probable es que los piratas informáticos utilizaran tácticas de ingeniería social y métodos de spear-phishing. Esta conjetura se ve respaldada además por el hecho de que el cargador de la etapa inicial, un script de PowerShell, parece haberse copiado manualmente en los dispositivos vulnerados.

Luego, la cadena de ataque pasa por otras dos fases que involucran la entrega automática de un cargador .NET y un código de shell de descarga, antes de que se ejecute la carga útil final de Sardonic. Una vez establecida en el sistema, la amenaza puede obtener información del dispositivo, ejecutar comandos arbitrarios e implementar cargas útiles de malware adicionales a través de un sistema de complementos.

Tendencias

Mas Visto

Cargando...