El actor de amenaza de motivación financiera conocido como FIN7 se ha vinculado a una puerta trasera con sede en Python llamamiento Anubis (que no debe confundirse con un troyano de banca Android del mismo nombre) que puede otorgarles entrada remoto a los sistemas de Windows comprometidos.
“Este malware permite a los atacantes ejecutar comandos de shell remotos y otras operaciones del sistema, dándoles un control total sobre una máquina infectada”, dijo la compañía suiza de seguridad cibernética ProDaft en un mensaje técnico del malware.
FIN7, asimismo llamado Carbon Spider, Elbrus, Gold Niagara, Sangria Tempest y Savage Ladybug, es un conjunto de delitos cibernéticos rusos conocido por su conjunto de familias de malware en constante desarrollo y en expansión para obtener entrada original y exfiltración de datos. En los últimos primaveras, se dice que el actor de amenazas hizo la transición a un afiliado de ransomware.
En julio de 2024, se observó el conjunto utilizando varios apodo en serie para anunciar una útil llamamiento Aukill (asimismo conocida como Avneutralizer) que es capaz de terminar las herramientas de seguridad en un probable intento de diversificar su logística de monetización.
Se cree que Anubis se propaga a través de campañas de Malspam que generalmente atraen a las víctimas a ejecutar la carga útil alojada en sitios de SharePoint comprometidos.
Entregado en forma de un archivo ZIP, el punto de entrada de la infección es un script de Python diseñado para descifrar y ejecutar la carga útil principal ofuscada directamente en la memoria. Una vez emprendedor, la puerta trasera establece comunicaciones con un servidor remoto a través de un socket TCP en formato codificado Base64.
Las respuestas del servidor, asimismo codificadas en Base64, le permiten compendiar la dirección IP del host, cargar/descargar archivos, cambiar el directorio de trabajo coetáneo, obtener variables de entorno, alterar el registro de Windows, cargar archivos DLL en memoria utilizando pythonmemorymodule y terminarse.
En un estudio independiente de ANUBIS, la compañía de seguridad alemana GDATA dijo que la puerta trasera asimismo respalda la capacidad de ejecutar respuestas proporcionadas por el cirujano como un comando shell en el sistema de víctimas.
“Esto permite a los atacantes realizar acciones como el keylogging, tomar capturas de pantalla o robar contraseñas sin juntar directamente estas capacidades en el sistema infectado”, dijo ProDaft. “Al amparar la puerta trasera lo más liviana posible, reducen el aventura de detección mientras mantienen flexibilidad para ejecutar nuevas actividades maliciosas”.
