18 de abril de 2024Sala de prensaCiberataque/malware El infame sindicato de delitos cibernéticos conocido como FIN7 se ha vinculado a una campaña de phishing dirigida a la industria automotriz estadounidense para ofrecer una conocida puerta trasera llamada Carbanak (también conocida como Anunak). «FIN7 identificó a los empleados de la empresa que trabajaban en el departamento de TI y tenían niveles más altos de derechos administrativos», dijo el equipo de investigación e inteligencia de BlackBerry en un nuevo artículo. «Usaron el atractivo de una herramienta gratuita de escaneo de IP para ejecutar su conocida puerta trasera Anunak y ganar un punto de apoyo inicial utilizando binarios, scripts y bibliotecas que viven de la tierra (LOLBAS)». FIN7, también conocido como Carbon Spider, Elbrus, Gold Niagara, ITG14 y Sangria Tempest, es un conocido grupo de delitos electrónicos con motivación financiera que tiene un historial de atacar una amplia gama de industrias verticales para entregar malware capaz de robar información. desde sistemas de punto de venta (PoS) desde 2012. En los últimos años, el actor de amenazas ha pasado a realizar operaciones de ransomware, entregando varias cepas como Black Basta, Cl0p, DarkSide y REvil. Hasta la fecha, dos miembros ucranianos del grupo, Fedir Hladyr y Andrii Kolpakov, han sido condenados a prisión en Estados Unidos. La última campaña descubierta por BlackBerry a finales de 2023 comienza con un correo electrónico de phishing que incluye un enlace trampa que apunta a un sitio falso («advanced-ip-sccanner[.]com») que se hace pasar por Advanced IP Scanner. «Este sitio falso redirige a ‘myipscanner[.]com’, que a su vez redirige a un Dropbox propiedad del atacante que descargó el ejecutable malicioso WsTaskLoad.exe en la máquina de la víctima», dijo la compañía canadiense de ciberseguridad. El binario, por su parte, inicia un proceso de varias etapas que finalmente conduce a La ejecución de Carbanak también está diseñada para entregar cargas útiles adicionales como POWERTRASH y establecer persistencia mediante la instalación de OpenSSH para acceso remoto. Actualmente no se sabe si los actores de la amenaza planeaban implementar ransomware, ya que el sistema infectado se detectó desde el principio y se eliminó. la red antes de que pudiera alcanzar la etapa de movimiento lateral. Si bien el objetivo del ataque era un «gran fabricante multinacional de automóviles» con sede en EE. UU., BlackBerry dijo que encontró varios dominios maliciosos similares en el mismo proveedor, lo que indica que puede ser parte de ellos. una campaña más amplia por parte de FIN7 para mitigar los riesgos que plantean tales amenazas, se recomienda que las organizaciones estén atentas a los intentos de phishing, habiliten la autenticación multifactor (MFA), mantengan todo el software y los sistemas actualizados y supervisen. intentos de inicio de sesión inusuales. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.