BADTATCH – kradnie dane z kart płatniczych

Badacze Bitdefender wykryli najnowszą wersję BADTATCH – złośliwego oprogramowania wykorzystywanego do kradzieży danych z kart płatniczych

Wiele grup cyberprzestępczych po przeprowadzaniu fali ataków, chowa się w cień, zaprzestając na pewien czas swoich działań. Zazwyczaj dzieje się tak z dwóch powodów. Po pierwsze przestępcy nie chcą przyciągać uwagi mediów a także dostawców systemów bezpieczeństwa, zaś po drugie, przygotowują w spokoju nowe, jeszcze groźniejsze wersje złośliwego oprogramowania.

Recenzja IR WOOX R4294 – pilot uniwersalny, czyli zacznij żyć SMART

Klasycznym przykładem tego typu postępowania jest grupa FIN8, która dała się poznać z ataków wymierzonych w placówki handlowe, hotelarstwo i branżę rozrywkową. Gang przestępczy wykorzystuje szeroką gamę technik, takich jak spear phishing i złośliwe narzędzia: PUNCHTRACK i BADHATCH. Oba służą do kradzieży danych kart płatniczych z systemów POS (Point of Sale).

Cyberprzestępczą działalność FIN8 wykryła w 2016 roku firma Fire Eye. Trzy lata później Gigamon odnotował pierwsze ataki przeprowadzone za pośrednictwem BADHATCH. Rozwojowi tego ostatniego narzędzia bacznie przyglądają się specjaliści z Bitdefendera, którzy w ostatnim czasie wytropili najnowszą wersję BADHATCH. Bitdefender w opublikowanym raporcie zwraca uwagę na fakt, iż złośliwe oprogramowanie BADHATCH to dojrzały, wysoce zaawansowany backdoor, który wykorzystuje kilka technik unikania i obrony. Nowy backdoor próbuje ominąć monitorowanie bezpieczeństwa, używając szyfrowania TLS w celu ukrycia poleceń Powershell.

Recenzja: Xtrfy M42 RGB i Xtrfy GP4 – ciekawa mysz oraz podkładka

BADHATCH został wdrożony jako implant zdolny do uruchamiania zadań dostarczonych przez napastnika, które są pobierane ze zdalnego serwera. Na tej liście znajdują się m.in załadowanie złośliwych bibliotek DLL, zbieranie informacji systemowych i eksfiltracja danych. Badacze Bitdefendera podkreślają, iż najnowsza wersja (2,14) tego backdoora nadużywa legalnej usługi o nazwie sslp.io, aby udaremnić wykrycie jego obecności podczas procesu przenikania do sieci ofiary. Malware pobiera skrypt PowerShell, który z kolei wykonuje kod powłoki zawierający bibliotekę DLL BADHATCH.

Co zrobić, aby zapobiec rozprzestrzenianiu się BADHATCH?

  • – Oddzielić sieć POS od tych, z których korzystają pracownicy lub goście.
  • – Dostosować rozwiązania zabezpieczające pocztę e-mail, aby automatycznie odrzucało złośliwe lub
  •    podejrzane załączniki.
  • – Zintegrować informacje o zagrożeniach z istniejącym SIEM lub mechanizmami zabezpieczeń pod
  •    kątem odpowiednich wskaźników naruszenia bezpieczeństwa.
  • – Wprowadzić szkolenie uświadamiające w zakresie cyberbezpieczeństwa dla pracowników, aby
  •    pomóc im wykrywać wiadomości phishingowe.

źródło: Bitdefender

 

Dodaj komentarz

%d bloggers like this: