Global Preloader
Noticia Internacional
(10/Oct/2017) Hackers de FIN7 cambian las técnicas de ataque

Hackers de FIN7 cambian las técnicas de ataque

El grupo de hackers financiamente motivado FIN7 recientemente cambió a una nueva técnica de entrega y ha estado empleando un método de ofuscación de malware diferente.

Altamente activo desde principios de 2017, FIN7 (también conocido como Anunak, o Carbanak ) comenzó a distribuir malware a través de archivos LNK incrustados en documentos de Word utilizando la tecnología Object Linking and Embedding (OLE). El ataque empleó un método de infección sin archivos, sin archivos escritos en el disco.

Los hackers han cambiado desde entonces a utilizar archivos CMD en lugar de LNK unos, muy probablemente en un intento de evadir la detección. El CMD, escribiría JScript a "tt.txt" bajo el directorio personal del usuario actual.

A continuación, el script por lotes se copia a "pp.txt" en el mismo directorio y, a continuación, ejecuta WScript utilizando el motor JScript del archivo. De acuerdo con ICEBRG, el código JScript se lee desde el archivo "pp.txt", evaluando cualquier cosa después del primer carácter para cada línea en el archivo. Sin embargo, omite las cuatro primeras líneas, que representan el propio código CMD.

Lo mismo que con los archivos LNK, sin embargo, el uso de archivos incrustados CMD OLE da como resultado la ejecución de código en la máquina de la víctima. El uso de código comentado tampoco es nuevo, y se ha asociado previamente con FIN7.

Los investigadores de seguridad también observaron una serie de cambios en la estrategia de ofuscación que los hackers están utilizando para su única puerta trasera, HALFBAKED, que ha estado cambiando continuamente durante el año pasado.

Hasta ahora, las diferentes etapas de la base de código HALFBAKED usaban la codificación base64, almacenada en una variable de array llamada "srcTxt", explican los investigadores. Ahora, el nombre se ofuscó y la cadena de base64 se descompone en varias cadenas dentro de una matriz.

Además, la puerta trasera incluye ahora un comando incorporado llamado "getNK2", que pretende recuperar la lista de autocompletar del cliente de correo electrónico de Microsoft Outlook de la víctima. Es probable que el comando tenga el nombre del archivo NK2 ​​que contiene una lista de direcciones de autocompletar para Microsoft Outlook 2007 y 2010.

"Esto puede sugerir el deseo del actor de obtener nuevos objetivos de phishing dentro de una organización de víctimas. Si cualquiera de estos nuevos objetivos cayó víctima del señuelo de phishing, permitiría a FIN7 aumentar su posición dentro de la red de una organización víctima y potencialmente girar a nuevas áreas".

Aunque las versiones más recientes de Outlook ya no utilizan el archivo NK2, la puerta trasera se dirige a ellos también, porque los hackers también escribieron funcionalidad para manejarlos dentro del mismo comando "getNK2".

"Los autores de detección deben hacer concesiones para optimizar el rendimiento de la firma; las firmas estrechas conducen a detecciones de alta fidelidad, pero el riesgo de perder los cambios en los comportamientos de los actores, mientras que los patrones de detección más amplios proporcionan una mejor cobertura, con el riesgo de más falsos positivos. Combatir a un adversario bien dotado y adaptable requiere un enfoque en capas de ambos estilos de firma ", concluye ICEBRG.