g0037-fin6 - RunkIntel

# FIN6 > [!danger] FIN6 / Skeleton Spider - Cibercrime Financeiro Modular > FIN6 (Skeleton Spider, ITG08, Camouflage Tempest) e um dos grupos de cibercrime financeiro mais prolíficos rastreados desde 2014. O grupo evoluiu de roubo de dados de cartao de pagamento em sistemas PoS para **e-skimming Magecart**, ransomware de dupla extorsao (Maze, LockerGoga) e engenharia social sofisticada contra equipes de RH via LinkedIn usando o **More_eggs MaaS** (Malware-as-a-Service). Em 2025, o grupo continuou ativo com campanhas de phishing contra recrutadores usando portfolios falsos hospedados em AWS/CloudFront com técnicas de evasão avancadas. ## Visão Geral **FIN6** e um grupo de cibercrime financeiramente motivado, ativo desde pelo menos 2014. Rastreado pela FireEye/Mandiant como FIN6, pela IBM X-Force como ITG08 e pela Microsoft como Camouflage Tempest, o grupo tornou-se sinonimo de comprometimento sistematico de sistemas de ponto de venda (PoS) na industria de hospitalidade e varejo. **Evolução operacional em tres fases:** 1. **2014-2018 - Era PoS**: Especializacao em comprometimento de sistemas de pagamento fisicos em hoteis, restaurantes e varejo. Ferramentas: FrameworkPOS, TRINITY 2. **2018-2020 - Era Magecart**: Migracao para e-skimming de e-commerce via JavaScript malicioso. Parte do coletivo Magecart como Grupo 6 3. **2020+ - Era Ransomware + Social Engineering**: Parceria com grupos ransomware (Maze, LockerGoga, Ryuk) e campanhas de engenharia social via LinkedIn usando More_eggs como MaaS **Caracteristicas distintivas:** - **More_eggs como servico**: o grupo licencia o More_eggs backdoor do Golden Chickens/Venom Spider - **Alvos de RH**: campanhas atuais focam em enganar recrutadores a visitar manualmente URLs de curriculos maliciosos - **CAPTCHA e browser fingerprinting**: técnicas avancadas de evasão para dificultar análise automatizada - **AWS/GoDaddy como infraestrutura**: uso de servicos legítimos para hospedar payloads e reduzir detecção por URL reputation ```mermaid graph TB A["LinkedIn / Indeed Perfil falso de candidato T1585 Social Media"] --> B["Email para Recrutador URL manual de portfolio T1566.003 Spearphishing"] B --> C["Portfolio Malicioso AWS CloudFront com CAPTCHA ZIP/LNK payload download"] C --> D["More_eggs Backdoor JScript via ie4uinit/regsvr32 In-memory, anti-debug"] D --> E["Reconhecimento Interno AdFind - domain enum T1087.002 - NTDS dump"] E --> F["Movimento Lateral Cobalt Strike beacon T1078 Valid Accounts"] F --> G["Monetização Exfiltração de dados PoS ou Deploy de Ransomware"] style A fill:#1a5276,color:#fff style B fill:#922b21,color:#fff style C fill:#c0392b,color:#fff style D fill:#8e44ad,color:#fff style E fill:#2980b9,color:#fff style F fill:#e67e22,color:#fff style G fill:#7b241c,color:#fff ``` ## Campanhas Recentes (2024-2026) ### Skeleton Spider - Campanha HR via LinkedIn (2025) Identificada pela CyberSecSentinel em junho de 2025, a campanha atual foca em **profissionais de recursos humanos**: **Método detalhado:** 1. Criação de perfis falsos de candidatos no LinkedIn e Indeed 2. Envio de email com URL nao-clicavel (instrucoes manuais) para evitar scanners de email 3. Portfolio malicioso hospedado em AWS S3/CloudFront com CAPTCHA humano 4. Verificação de geolocalização e browser fingerprinting para filtrar sandboxes 5. ZIP/LNK entregando More_eggs via `ie4uinit.exe` ou `msxsl.exe` 6. Backdoor opera inteiramente em memoria com anti-debug e sandbox detection ### Campanha Magecart E-commerce (2019-2021) O FIN6 injetou JavaScript malicioso em paginas de checkout de e-commerce para capturar dados de cartao de pagamento em transito. Técnicas usadas: - Comprometimento de fornecedores de scripts de terceiros (supply chain de JavaScript) - Injecao de código em frameworks de pagamento (Magento, WooCommerce, Shopify) - Exfiltração via HTTP POST para dominios lookalike controlados pelo grupo ### Era PoS - Hospitality e Retail (2014-2018) Campanha de longa duracao comprometendo sistemas PoS em hoteis, restaurantes e varejistas nos EUA e Europa: - Spearphishing inicial contra TI de hospitality - FrameworkPOS para captura de dados de cartao da memoria de processos - PsExec para propagação lateral em redes de hospitality - SSH tunnel via Plink para exfiltração encoberta via protocolo seguro ## Arsenal | Ferramenta | Tipo | Função | |-----------|------|--------| | [[s0284-moreeggs\|More_eggs]] | MaaS Backdoor | JScript backdoor com evasão de AV - alugado do Golden Chickens | | [[s0503-frameworkpos\|FrameworkPOS]] | Malware PoS | Scraping de memoria de processos PoS para dados de cartao | | [[s0154-cobalt-strike\|Cobalt Strike]] | C2 Framework | Movimento lateral e execução pos-comprometimento | | [[flawedammyy\|FlawedAmmyy]] | RAT | Acesso remoto persistente para sessoes interativas | | [[s0632-grimagent\|GrimAgent]] | Downloader | Downloader de fase inicial para deliveries mais recentes | | [[s0449-maze\|Maze]] | Ransomware | Ransomware de dupla extorsao - parceria em 2019-2020 | | [[s0372-lockergoga\|LockerGoga]] | Ransomware destrutivo | Implantado em comprometimentos para extorsao adicional | | [[s0552-adfind\|AdFind]] | Reconhecimento | Enumeracao de Active Directory para mapeamento de redes | ## TTPs Mapeados | Tática | Técnica | ID | Descrição | |--------|---------|----|-----------|| | Initial Access | Spearphishing Service | [[t1566-003-spearphishing-via-service\|T1566.003]] | LinkedIn/Indeed como vetor de entrega | | Execution | JavaScript | [[t1059-007-javascript\|T1059.007]] | More_eggs JScript e injecao Magecart | | Persistence | Registry Run Keys | [[t1547-001-registry-run-keys-startup-folder\|T1547.001]] | HARDTACK/SHIPBREAD downloaders | | Credential Access | NTDS | [[t1003-003-ntds\|T1003.003]] | Dump de NTDS via Metasploit PsExec NTDSGRAB | | Defense Evasion | Obfuscation | [[t1027-010-command-obfuscation\|T1027.010]] | Base64, XOR e permutacao em dados exfiltrados | | Lateral Movement | Valid Accounts | [[t1078-valid-accounts\|T1078]] | Uso de credenciais roubadas para movimento lateral | | Collection | Databases | [[t1213-006-databases\|T1213.006]] | Acesso a bancos de dados de assinantes e SQL Servers | | Exfiltration | Protocol Tunneling | [[t1572-protocol-tunneling\|T1572]] | SSH tunnels via Plink para exfiltração encoberta | ## Timeline ```mermaid timeline title FIN6 - Linha do Tempo 2014 : Primeiras campanhas PoS documentadas : Hoteis e varejo nos EUA 2016 : Expansao para Europa : 20M+ registros de cartao roubados 2018-2019 : Migracao para e-commerce Magecart : IBM X-Force expoe ITG08 2019 : Parceria Maze ransomware 2020 : LockerGoga em comprometimentos : Campanha LinkedIn More_eggs inicial 2021-2022 : Consolidacao como Skeleton Spider : Focus em RH e recrutamento 2023-2024 : AWS/GoDaddy como infra : CAPTCHA evasion avancado 2025-06 : Campanha HR ativa - CyberSecSentinel report : More_eggs via ZIP/LNK chains ``` ## Relevância para o Brasil e LATAM > [!warning] Risco para Varejo, E-commerce e Hospitality Brasileiros > O FIN6 representa ameaça direta ao setor de varejo online e hospitalidade no Brasil. O perfil historico do grupo se sobrepoe exatamente com o ecossistema brasileiro: maior mercado de e-commerce da América Latina. Redes hoteleiras (Accor Brasil, Rede Bourbon, Grupo Wish), plataformas de e-commerce (Mercado Livre, Américanas, Magazine Luiza) e gateways de pagamento (PagSeguro, Cielo, Rede) estao no perfil de alvos historicos do grupo. **Vetores de risco específicos:** - **Equipes de RH brasileiras**: campanhas LinkedIn do FIN6 sao globais e afetam recrutadores que revisam candidaturas internacionais - **Gateways de pagamento**: PagSeguro, Cielo e Rede processam volumes significativos e sao alvos de skimming Magecart - **Sistemas PoS em hospitality**: Oracle OPERA e Totvs Hospitality usados em hoteis brasileiros sao o historico de alvos primarios - **E-commerce Magento/WooCommerce**: extensa base de lojas brasileiras vulneraveis a injecao JavaScript ## Detecção | Indicador | Técnica de Detecção | |-----------|---------------------| | `ie4uinit.exe` ou `msxsl.exe` executando fora de contexto normal | Regras EDR para processos incomuns | | Processo JScript sem arquivo em disco | Monitoramento de execução fileless | | Conexoes outbound de `regsvr32.exe` para IPs externos | Alertas de rede para binarios do sistema | | Novo script em painel de checkout de e-commerce | Monitoramento de integridade de arquivos em producao | | Exfiltração via HTTP POST para dominios lookalike | Análise DLP de trafego web | ## Referências - [1](https://attack.mitre.org/groups/G0037/) MITRE ATT&CK - G0037 FIN6 (2024) - [2](https://cybersecsentinel.com/fin6-skeleton-spider-escalates-enterprise-threats-with-more_eggs-campaigns/) CyberSecSentinel - Skeleton Spider Escalates with More_eggs Campaigns (Jun 2025) - [3](https://www.itpro.com/security/34296/hacking-group-fin6-changes-tactics-and-aims-at-e-commerce-websites) ITPro - FIN6 Changes Tactics to E-commerce Skimming (2019) - [4](https://malpedia.caad.fkie.fraunhofer.de/actor/fin6) Malpedia - FIN6 Actor Profile (2024) **Atores relacionados:** [[g0046-fin7|FIN7]] · [[g0008-carbanak|Carbanak]] · [[ta558|TA558]] **Malware e ferramentas:** [[s0284-moreeggs|More_eggs]] · [[s0503-frameworkpos|FrameworkPOS]] · [[s0154-cobalt-strike|Cobalt Strike]] · [[s0449-maze|Maze]] · [[s0372-lockergoga|LockerGoga]] **TTPs principais:** [[t1566-003-spearphishing-via-service|T1566.003]] · [[t1059-007-javascript|T1059.007]] · [[t1003-003-ntds|T1003.003]] · [[t1027-010-command-obfuscation|T1027.010]] **Setores alvejados:** [[retail|Varejo]] · [[hospitality|Hospitalidade]] · [[financial|Financeiro]]