O ator de ameaças financeiramente motivado conhecido como FIN7 foi vinculado a um backdoor baseado em Python chamado Anubis (não confundir com um trojan bancário para Android de mesmo nome) que pode conceder-lhes acesso remoto a sistemas Windows comprometidos.
"Esse malware permite aos atacantes executar comandos de shell remoto e outras operações do sistema, dando-lhes controle total sobre uma máquina infectada", disse a empresa suíça de cibersegurança PRODAFT em um relatório técnico sobre o malware.
FIN7, também chamado de Carbon Spider, ELBRUS, Gold Niagara, Sangria Tempest e Savage Ladybug, é um grupo russo de cibercrime conhecido por seu conjunto de famílias de malware em constante evolução e expansão para obtenção de acesso inicial e exfiltração de dados.
Nos últimos anos, diz-se que o ator de ameaça fez a transição para um afiliado de ransomware.
Em julho de 2024, o grupo foi observado usando vários pseudônimos online para anunciar uma ferramenta chamada AuKill (também conhecida como AvNeutralizer) que é capaz de encerrar ferramentas de segurança em uma tentativa provável de diversificar sua estratégia de monetização.
Acredita-se que o Anubis seja propagado via campanhas de malspam que normalmente atraem vítimas para executar o payload hospedado em sites SharePoint comprometidos.
Entregue na forma de um arquivo ZIP, o ponto de entrada da infecção é um script Python projetado para descriptografar e executar o payload ofuscado principal diretamente na memória.
Uma vez lançado, o backdoor estabelece comunicação com um servidor remoto por meio de um socket TCP em formato Base64 codificado.
As respostas do servidor, também em formato Base64 codificado, permitem a ele coletar o endereço IP do host, fazer upload/download de arquivos, mudar o diretório de trabalho atual, capturar variáveis de ambiente, alterar o Registro do Windows, carregar arquivos DLL na memória usando PythonMemoryModule e encerrar a si mesmo.
Em uma análise independente do Anubis, a empresa alemã de segurança GDATA disse que o backdoor também suporta a capacidade de executar respostas fornecidas pelo operador como um comando shell no sistema da vítima.
"Isso permite aos atacantes realizar ações como keylogging, captura de tela ou roubo de senhas sem armazenar diretamente essas capacidades no sistema infectado", disse a PRODAFT.
Mantendo o backdoor tão leve quanto possível, eles reduzem o risco de detecção enquanto mantêm a flexibilidade para executar mais atividades maliciosas.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...