ShellTea il nuovo malware del gruppo hacker FIN8

Il gruppo di hacker  FIN8 è tornato con una nuova variante altamente sofisticata del malware ShellTea e ha compiuto attacchi contro l’industria alberghiera e dell’intrattenimento. Questo sarebbe il primo attacco del gruppo di hacker di FIN8 nel 2019 e si ritiene che il malware sia stato implementato a seguito di un attacco di phishing.

I ricercatori di Morphisec Labs hanno rivelato una nuova campagna tra marzo e maggio 2019 e “ha tentato di infiltrarsi in macchine all’interno della rete di un cliente nel settore dell’intrattenimento alberghiero”.

Il malware implica anche una serie di tecniche anti-debug o anti-monitoraggio per verificare che non sia in esecuzione in una macchina virtuale o che non sia monitorato con alcuno strumento.

I processi su cui lavora il nuovo malware:

WINDBG.EXE, WIRESHARK.EXE, PROCEXP.EXE, PROCMON.EXE, TCPVIEW.EXE, 
OLLYDBG.EXE, IDAG.EXE, IDAG64.EXE, DUMPCAP.EXE, FILEMON.EXE, IDAQ64.EXE, IDAQ.EXE, IMMUNITYDEBUGGER 
. EXE, PETOOLS.EXE, REGMON.EXE, SYSER.EXE, TCPDUMP.EXE, 
WINDUMP.EXE, APIMONITOR.EXE, APISPY32.EXE, IRIS.EXE, NETSNIFFER.EXE, 
WINAPIOVERRIDE32.EXE, WINSPY.EXE

Il settore Ospedaliero, e in particolare le sue reti POS, stanno diventando un obiettivo primario per il gruppo del crimine informatico. I ricercatori presumono che l’attacco del gruppo FIN6 sia anche un tentativo di attacco POS.