El grupo de cibercriminales FIN7, también conocido como Carbon Spider, Elbrus, Gold Niagara, ITG14, Sangria Tempest, ha sido vinculado a una reciente campaña de spear-phishing dirigida a la industria automotriz de EE. UU. para distribuir su puerta trasera Carbanak (también conocida como Anunak). Según un informe de BlackBerry, FIN7 identificó a los empleados de la compañía que trabajan en el departamento de tecnología de la información y tienen mayores niveles de derechos administrativos. El grupo utilizó una herramienta de exploración de IP gratuita atractiva para ejecutar su puerta trasera Anunak y obtener una primera entrada utilizando binaries, scripts y bibliotecas de «living off the land» (LOLBAS).
Desde 2012, FIN7 ha tenido como objetivo una amplia gama de sectores industriales en una campaña de malware capaz de robar información de los sistemas de punto de venta (PoS). En los últimos años, el grupo ha pasado a realizar operaciones de ransomware, distribuyendo varias cepas como Black Basta, Cl0p, DarkSide y REvil. Hasta la fecha, dos miembros ucranianos del grupo, Fedir Hladyr y Andrii Kolpakov, han sido condenados a prisión en los Estados Unidos.
La última campaña de spear-phishing descubierta por BlackBerry comienza con un correo electrónico que incrusta un enlace trampa que apunta a un sitio falso («advanced-ip-sccanner [.] com») que se hace pasar por Advanced IP Scanner. Este sitio falso redirecciona a ‘myipscanner[.]com’, que a su vez redirecciona a un Dropbox propiedad del atacante que descarga el ejecutable malicioso WsTaskLoad.exe en la máquina de la víctima. El archivo binario inicia un proceso en varias etapas que finalmente conduce a la ejecución de Carbanak y está diseñado para distribuir cargas adicionales como POWERTRASH y establecer la persistencia mediante la instalación de OpenSSH para el acceso remoto.
Actualmente se desconoce si los actores de amenazas planeaban desplegar ransomware, ya que el sistema infectado fue detectado temprano y eliminado de la red antes de que pudiera alcanzar la etapa de movimiento lateral. Si bien el objetivo del ataque fue un «gran fabricante automotriz multinacional» con sede en EE. UU., BlackBerry encontró varios dominios maliciosos similares en el mismo proveedor, lo que indica que puede ser parte de una campaña más amplia dirigida por FIN7.
Para mitigar los riesgos planteados por tales amenazas, se recomienda que las organizaciones estén alerta ante intentos de phishing, habiliten la autenticación multifactor (MFA), mantengan todo su software y sistemas actualizados y monitoreen los intentos de inicio de sesión inusuales. En resumen, se debe estar alerta ante los intentos de spear-phishing por parte de FIN7 y tomar medidas para conectarse de manera segura y actualizar continuamente sus sistemas para mitigar el riesgo de vulnerabilidades.
Vía The Hacker News