s0416-rdfsniffer - RunkIntel

# RDFSNIFFER > Tipo: **malware** · S0416 · [MITRE ATT&CK](https://attack.mitre.org/software/S0416) ## Descrição [[s0416-rdfsniffer|RDFSNIFFER]] é um módulo malicioso carregado pelo loader [[s0415-boostwrite|BOOSTWRITE]], utilizado pelo [[g0046-fin7|FIN7]] em operações contra o setor de varejo e hospitalidade. O RDFSNIFFER permite que um atacante monitore e manipule conexões legítimas realizadas por meio do aplicativo Aloha Command Center - uma ferramenta de gerenciamento remoto amplamente usada por redes de restaurantes e varejo para gerenciar terminais POS remotamente. O ataque é especialmente insidioso porque explora uma ferramenta legítima de gerenciamento: o RDFSNIFFER usa API hooking de credenciais ([[t1056-004-credential-api-hooking|T1056.004]]) para interceptar e capturar credenciais de autenticação enquanto técnicos de TI realizam sessões de gerenciamento remoto normais. O módulo opera de forma invisível, se excluindo após uso ([[t1070-004-file-deletion|T1070.004]]) e usando APIs nativas do Windows ([[t1106-native-api|T1106]]) para minimizar rastros. A combinação BOOSTWRITE/RDFSNIFFER é representativa da sofisticação técnica do [[g0046-fin7|FIN7]], que progressivamente evoluiu de ataques a sistemas POS simples para operações mais complexas envolvendo comprometimento de ferramentas de gerenciamento legítimas para manter acesso persistente e coletar credenciais em escala em redes de varejo e hospitalidade. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1056-004-credential-api-hooking|T1056.004 - Credential API Hooking]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1106-native-api|T1106 - Native API]] ## Grupos que Usam - [[g0046-fin7|FIN7]] ## Detecção A detecção do RDFSNIFFER requer monitoramento de DLLs carregadas pelo processo do Aloha Command Center - qualquer DLL não assinada ou não presente na instalação original é suspeita. Hooks em APIs de credenciais do Windows ([[t1056-004-credential-api-hooking|T1056.004]]) podem ser detectados por ferramentas EDR com capacidade de análise de integridade de processo. O loader BOOSTWRITE usa técnicas de LOLBins e deve ser monitorado através de regras de detecção para carregamento de DLLs por utilitários legítimos do Windows. ## Relevância LATAM/Brasil O [[g0046-fin7|FIN7]] é um dos grupos de crime organizado financeiro mais prolíficos, com histórico documentado de ataques contra redes de restaurantes, varejo e hospitalidade nos EUA, Europa e, progressivamente, América Latina. O Brasil possui um grande setor de varejo e de food service que utiliza sistemas POS e ferramentas de gerenciamento remoto similares às exploradas pelo FIN7. Redes de restaurantes, supermercados e postos de combustível com gerenciamento remoto de terminais POS representam a superfície de ataque mais relevante para TTPs do FIN7/RDFSNIFFER no contexto brasileiro. ## Referências - [MITRE ATT&CK - S0416](https://attack.mitre.org/software/S0416)