Licences multi-appareils (remises sur volume)

Changer de région

English Dansk Deutsch Español Français Italiano Nederlands Polski Português Svenska Türkçe हिन्दी 日本語 汉语 漢語
Threat Database Backdoors Sardonic Backdoor

Sardonic Backdoor

Par Mezo en Backdoors
Se traduisent par :
Français

Le cybergang FIN8 est de retour avec une nouvelle campagne d'attaques et de nouvelles menaces de logiciels malveillants dans son arsenal. La dernière victime de cet acteur menaçant à motivation financière est une organisation financière américaine, et plus particulièrement une banque. Dans le cadre de l'attaque, FIN8 a déployé une menace de malware jusqu'alors inconnue, baptisée Sardonic.

FIN8 existe depuis au moins 2016 et, au cours de cette période, a basculé entre plusieurs périodes actives suivies d'une relative dormance. Lorsqu'ils sont inactifs, les pirates informatiques travaillent généralement à la mise à jour et à l'amélioration de leur arsenal menaçant. Le groupe a ciblé des victimes dans un large éventail de secteurs industriels différents, notamment la vente au détail, la santé, le divertissement, la restauration et l'hôtellerie. L'objectif de FIN8 est de collecter les données de carte de paiement des systèmes de point de vente de la victime.

Sardonic est toujours en développement

Bien qu'il soit utilisé dans une opération en direct contre une cible choisie, Sardonic n'est pas une menace de malware entièrement complète, car il porte des signes d'être toujours en cours de développement actif. Cela ne l'empêche pas d'être une porte dérobée puissante capable d'effectuer plusieurs activités nuisibles sur les systèmes compromis.

Écrit en C++, Sardonic se compose de plusieurs composants qui semblent avoir été compilés juste avant l'attaque. En tant que vecteur d'infection initial, les pirates ont très probablement utilisé des tactiques d'ingénierie sociale et des méthodes de spear-phishing. Cette conjecture est également étayée par le fait que le chargeur de la phase initiale - un script PowerShell, semble avoir été copié manuellement sur les appareils violés.

La chaîne d'attaque passe ensuite par deux autres phases impliquant la livraison automatique d'un shellcode de chargement et de téléchargement .NET, avant que la charge utile finale de Sardonic ne soit exécutée. Une fois établie sur le système, la menace peut obtenir des informations de l'appareil, exécuter des commandes arbitraires et déployer des charges utiles de logiciels malveillants supplémentaires via un système de plug-in.

Tendance

Le plus regardé

Chargement...