Badacze Bitdefender wykryli najnowszą wersję BADTATCH – złośliwego oprogramowania wykorzystywanego do kradzieży danych z kart płatniczych.
Wiele grup cyberprzestępczych po przeprowadzaniu fali ataków, chowa się w cień, zaprzestając na pewien czas swoich działań. Zazwyczaj dzieje się tak z dwóch powodów. Po pierwsze przestępcy nie chcą przyciągać uwagi mediów a także dostawców systemów bezpieczeństwa, zaś po drugie, przygotowują w spokoju nowe, jeszcze groźniejsze wersje złośliwego oprogramowania. Klasycznym przykładem tego typu postępowania jest grupa FIN8, która dała się poznać z ataków wymierzonych w placówki handlowe, hotelarstwo i branżę rozrywkową. Gang przestępczy wykorzystuje szeroką gamę technik, takich jak spear phishing i złośliwe narzędzia: PUNCHTRACK i BADHATCH. Oba służą do kradzieży danych kart płatniczych z systemów POS (Point of Sale). Cyberprzestępczą działalność FIN8 wykryła w 2016 roku firma Fire Eye. Trzy lata później Gigamon odnotował pierwsze ataki przeprowadzone za pośrednictwem BADHATCH. Rozwojowi tego ostatniego narzędzia bacznie przyglądają się specjaliści z Bitdefendera, którzy w ostatnim czasie wytropili najnowszą wersję BADHATCH. Bitdefender w opublikowanym raporcie zwraca uwagę na fakt, iż złośliwe oprogramowanie BADHATCH to dojrzały, wysoce zaawansowany backdoor, który wykorzystuje kilka technik unikania i obrony. Nowy backdoor próbuje ominąć monitorowanie bezpieczeństwa, używając szyfrowania TLS w celu ukrycia poleceń Powershell.
BADHATCH został wdrożony jako implant zdolny do uruchamiania zadań dostarczonych przez napastnika, które są pobierane ze zdalnego serwera. Na tej liście znajdują się m.inzaładowanie złośliwych bibliotek DLL, zbieranie informacji systemowych i eksfiltracja danych. Badacze Bitdefendera podkreślają, iż najnowsza wersja (2,14) tego backdoora nadużywa legalnej usługi o nazwie sslp.io, aby udaremnić wykrycie jego obecności podczas procesu przenikania do sieci ofiary. Malware pobiera skrypt PowerShell, który z kolei wykonuje kod powłoki zawierający bibliotekę DLL BADHATCH.