Виявлено нову версію безфайлового бекдору ShellTea, який націлений на POS-системи в готельно-розважальній індустрії через фішинг.

Як це працює?

-Зловмисники проникають через фішингові листи, використовуючи PowerShell для виконання base64-кодованого коду з реєстру.
-ShellTea інжектується в explorer.exe, використовуючи кастомне розшифрування функцій і обхід віртуальних середовищ.
-Виконує розвідку (збір даних про користувача, мережу, антивіруси) та відправляє дані на C2-сервер (наприклад, telemerty-cdn-cloud[.]host).
-Забезпечує персистентність через реєстр і може доставляти додаткові модулі, як PowerShell ReflectivePicker.

Що загрожує? Компрометація POS-систем, викрадення даних і фінансовий збиток.

Як захиститися?

-Уникайте підозрілих листів і вкладень.
-Обмежте виконання PowerShell-скриптів і доступ до реєстру.
-Оновлюйте антивірусне ПЗ та слідкуйте за мережевою активністю.
-Перевіряйте підозрілі процеси та з’єднання.

FIN8 вдосконалює методи, використовуючи безфайлові атаки. Захищайте свої системи!