Fin7 (o Carbanak) está de regreso con el malware SQLRat

El grupo de amenazas Fin7, también conocido como Carbanak, está de vuelta con un nuevo conjunto de herramientas de administrador y con nuevas formas de malware.

Fin7 lleva activo por lo menos desde el 2015, y desde el inicio el grupo se ha adherido a ataques contra cientos de compañías en todo el mundo.

Más de 100 compañías se han visto afectadas en Estados Unidos, con muchas víctimas en las industrias de catering, juegos y alojamiento. Se cree que los hackers han robado al menos 15 millones de registros de tarjetas de crédito de Estados Unidos de más de 6.500 terminales de puntos de venta (PoS) en miles de ubicaciones hasta la fecha.

En agosto, el Departamento de Justicia de Estados Unidos (DoJ) arrestó a tres ciudadanos ucranianos sospechosos de ser miembros de Fin7, que operaban detrás de una compañía que aparentaba ser legítima llamada Combi Security. Los sospechosos fueron localizados y arrestados en Alemania, Polonia y España.

A pesar de los arrestos, el miércoles investigadores de Flashpoint publicaron una nueva investigación relacionada con las actividades recientes de Fin7.

Cardabank, como también se les conoce, a menudo usa un vector de ataque muy común, el phishing, en intentos de engañar a las posibles víctimas para que descarguen y ejecuten malware. Se envían correos electrónicos de phishing que se cargan con archivos adjuntos maliciosos, y uno, en particular, ha revelado la existencia de una nueva forma de malware.

Flashpoint llama al nuevo malware SQLRat. Este es capaz de eliminar y ejecutar scripts SQL en un sistema comprometido, que la firma de Ciberseguridad llama «ingenioso» porque «no dejan rastros de la forma en que lo hace el malware tradicional». Esto, a su vez, hace que el seguimiento de piratas informáticos, el análisis forense y la ingeniería inversa sean extremadamente difíciles.

La secuencia de comandos forja una conexión a una base de datos de Microsoft controlada por Fin7 y luego ejecuta varias tablas, incluida la escritura en disco de una versión personalizada de TinyMe, un banco de pruebas de código abierto.

SQLRat se propaga a través de una imagen superpuesta con un vb Form Trigger que solicita a los destinatarios de un correo electrónico de phishing «Desbloquear contenidos protegidos». Si se hace doble clic, el formulario ejecuta un script VB para comenzar el proceso de infección y también crea dos entradas programadas de tareas para mantener la persistencia.

Otra nueva muestra de malware, llamada DNSbot, es un backdoor multiprotocolo que opera sobre el tráfico de DNS para intercambiar comandos y enviar datos desde y hacia sistemas infectados. El malware también es capaz de cambiar a canales encriptados, incluyendo HTTPS y SSL.

También tienen un nuevo panel de ataque llamado Astra. Escrito en PHP, Astra funciona como un sistema de administración de scripts que empuja los scripts de ataque a los equipos comprometidos.

Cobalt Strike, una herramienta de prueba de penetración también se ha convertido en uno de los favoritos de los grupos de piratería, incluido Fin7. Contenía una vulnerabilidad, parcheada a partir de este año, que reveló involuntariamente no solo instancias genuinas de Cobalt Strike, sino también una gran cantidad de Servidores de comando y control (C2) que pertenecen a piratas informáticos que hacen uso de la herramienta.