I ricercatori di Morphisec Labs hanno rivelato una nuova campagna tra marzo e maggio 2019 che “ha tentato di infettare le macchine della rete di un cliente nel settore dell’intrattenimento – alberghiero”.

Il malware implica anche una serie di tecniche anti-debug o anti-monitoraggio per verificare che non sia in esecuzione in una macchina virtuale o che non sia monitorato con alcuno strumento.

Le tecniche di offuscamento di FIN8 sono state analizzate da FireEye già a giugno 2017 insieme all’uso del “malware PUNCHTRACK-scraping POS“. Il malware è del 2017 ma la sua utilizzazione e la sua evoluzione è stata progressiva nel corso di questi due anni. “All’inizio del 2017,” scrive FireEye”FIN8 ha iniziato a utilizzare variabili a seconda dell’ambiente in cui operava (se in sistemi monitorati o sandbox) e, grazie alla capacità di PowerShell di ricevere comandi tramite StdIn (input standard), riusciva ad eludere i controlli effettuati sulle singole righe di comando”.

L’analisi del Malware è stato inizialmente effettuato da Root9b che nel 2017 già sottolineava come lo scopo di ShellTea era quello di distribuire un malware POS. “Abbiamo osservato gli attaccanti rubare i token, quindi utilizzare quelle credenziali o creare ticket Kerberos falsi (‘Golden Tickets’) per effettuare movimenti laterali nel network della vittima e ottenere l’accesso ai server di rete sulla rete PoS, se infatti, sarebbero divenuti gli Hub central per tutto il resto dell’attacco. Una volta infettato il sistema era possibile avviare comandi della shell, incluso wmic.exe e obbligare il software PoS, soprannominato PoSlurp, all’avvio sulle macchine PoS dedicate”.

Il gruppo di hacker  FIN8 ha quindi ultimato e riutilizzato questa tecnologia per portare a termine il suo primo attacco e gli esperti ritengono che il malware sia stato lanciato sfruttando un attacco di phishing.

I processi su cui lavora il nuovo malware:

    1. WINDBG.EXE, WIRESHARK.EXE, PROCEXP.EXE, PROCMON.EXE, TCPVIEW.EXE,
    2. OLLYDBG.EXE, IDAG.EXE, IDAG64.EXE, DUMPCAP.EXE, FILEMON.EXE, IDAQ64.EXE, IDAQ.EXE, IMMUNITYDEBUGGER
    3. . EXE, PETOOLS.EXE, REGMON.EXE, SYSER.EXE, TCPDUMP.EXE,
    4. WINDUMP.EXE, APIMONITOR.EXE, APISPY32.EXE, IRIS.EXE, NETSNIFFER.EXE,
    5. WINAPIOVERRIDE32.EXE, WINSPY.EXE

Fonte: Morphisec Labs

Twitter
Visit Us
LinkedIn
Share
YOUTUBE