Киберпреступная группировка, известная как FIN8, вооружилась новым вредоносным ПО под названием BADHATCH, в отчете команды Gigamon. Злоумышленники используют новую вредоносную программу, разработанную для атак на PoS-терминалы.
По оценкам специалистов, группировка FIN8 продолжает развиваться и адаптировать свои инструменты. При рассмотрении версий вредоносов ShellTea и PoSlurp исследователи обнаружили ранее не встречавшийся вариант, получивший название BADHATCH.
Атака обычно начинается с вредоносной рассылки, содержащей вложения в виде документов Microsoft Word с вредоносным макросом, при активации которого на устройстве загружается загрузчик PowerSniff (PUNCHBUGGY).
“BADHATCH включает самоудаляющийся скрипт PowerShell, содержащий большой байтовый массив 64-разрядного shell-кода, который копируется в память процесса PowerShell и выполняется с вызовом CreateThread. Данный скрипт отличается тем, что команды закодированы в base64, возможно, для обхода продуктов безопасности”, — отмечают исследователи.
В отличие от PowerSniff BADHATCH не содержит методов обнаружения песочницы. Кроме того, вредонос не проверяет, в какой среде находится и не обладает встроенными механизмами, обеспечивающими сохранение постоянного присутствия на системе.
Программа PoSlurp является одним из важнейших инструментов FIN8, так как она извлекает номера кредитных карт во время их обработки платежной системой.
“Большинство скрэперов проверяют номер карт по алгоритму, определяющему их валидность. Примечательно, что PoSlurp не запускает алгоритм Luhn для номеров собранных карт. Проверка может быть выполнена в автономном режиме после извлечения данных карты, но в любом случае FIN8 известна среда, и PoSlurp атакует непосредственно ПО для обработки данных карт, а не произвольно извлекает данные из других процессов в памяти”, — говорится в отчете.