Se ha observado que un actor de amenazas con motivaciones financieras, conocido por poner sus miras en los sectores del comercio minorista, la hostelería y el entretenimiento, ha desplegado una puerta trasera completamente nueva en los sistemas infectados, lo que indica que los operadores están retocando continuamente su arsenal de malware para evitar la detección y permanecer bajo el radar.
La empresa rumana de tecnología de ciberseguridad Bitdefender ha bautizado el malware, hasta ahora no documentado, como «Sardonic», que encontró durante una investigación forense tras un ataque fallido llevado a cabo por FIN8 contra una institución financiera no identificada situada en Estados Unidos.
La puerta trasera de Sardonic, que se dice que está en desarrollo activo, es extremadamente potente y tiene una amplia gama de capacidades que ayudan al actor de la amenaza a aprovechar el nuevo malware sobre la marcha sin actualizar los componentes», dijeron los investigadores de Bitdefender Eduard Budaca y Victor Vrabie en un informe compartido con The Hacker News.
Desde que apareció en escena en enero de 2016, FIN8 ha aprovechado multitud de técnicas como el spear-phishing y software malicioso como PUNCHTRACK y BADHATCH para robar datos de tarjetas de pago de los sistemas de puntos de venta (TPV).
El grupo de amenazas, que es conocido por tomarse largas pausas entre campañas para afinar sus tácticas y aumentar el índice de éxito de sus operaciones, lleva a cabo sus incursiones cibernéticas principalmente a través de ataques de «vivir de la tierra», utilizando herramientas e interfaces integradas como PowerShell, así como aprovechando servicios legítimos como sslip.io para disfrazar su actividad.
A principios de marzo, Bitdefender reveló el regreso de FIN8 tras un paréntesis de año y medio para dirigirse a los sectores de seguros, comercio minorista, tecnología y química en Estados Unidos, Canadá, Sudáfrica, Puerto Rico, Panamá e Italia con una versión renovada del implante BADHATCH que incluye capacidades mejoradas, como captura de pantalla, tunelización de proxy, robo de credenciales y ejecución sin archivos.
En el último incidente analizado por la empresa, los atacantes se habrían infiltrado en la red objetivo para realizar un reconocimiento detallado, antes de llevar a cabo actividades de movimiento lateral y escalada de privilegios para desplegar la carga útil del malware. «Hubo múltiples intentos de desplegar el backdoor Sardonic en los controladores de dominio para continuar con la escalada de privilegios y el movimiento lateral, pero las líneas de comando maliciosas fueron bloqueadas», dijeron los investigadores.
Escrito en C++, Sardonic no sólo toma medidas para establecer la persistencia en la máquina comprometida, sino que también viene equipado con capacidades que le permiten obtener información del sistema, ejecutar comandos arbitrarios y cargar y ejecutar plugins adicionales, cuyos resultados se transmiten a un servidor remoto controlado por el atacante.
En todo caso, el último desarrollo es una señal más del cambio de táctica de FIN8 al fortalecer sus capacidades y su infraestructura de entrega de malware. Para mitigar el riesgo asociado al malware financiero, se recomienda a las empresas que separen sus redes de puntos de venta de las utilizadas por los empleados o los clientes, que formen a los empleados para que detecten mejor los correos electrónicos de phishing y que mejoren las soluciones de seguridad del correo electrónico para filtrar los archivos adjuntos potencialmente sospechosos.