El cebo de licor FIN7 compromete a la firma de abogados con Backdoor - Calendae | Informática, Electrónica, CMS, Ciberseguridad

El cebo de licor FIN7 compromete a la firma de abogados con Backdoor

Hola y mil gracias por leerme. Te habla Eduardo Arroyo y esta vez vamos a hablar sobre El cebo de licor FIN7 compromete a la firma de abogados con Backdoor

El cebo de licor FIN7 compromete a la firma de abogados con Backdoor

Usando un señuelo relacionado con una demanda contra el propietario de whisky Jack Daniels, cybergang ha lanzado una campaña que podría apuntar a la distribución de ransomware.

La banda de ciberdelincuentes financieros FIN7 se ha recuperado del encarcelamiento de miembros clave, lanzando una campaña que utiliza una denuncia legal que involucra a la compañía de licores Jack Daniels, propiedad de whisky, como cebo. La medida comprometió con éxito al menos a un bufete de abogados al darles una oportunidad del troyano de acceso remoto JSSLoader (RAT), dijeron los investigadores.

Según la Unidad de respuesta a amenazas (TRU) de eSentire, la exitosa violación de FIN7 (también conocida como Carbanak Group o Navigator Group) fue parte de una campaña de correo electrónico más grande y no dirigida. Pretende referirse a una demanda centrada en el gigante de las bebidas alcohólicas Brown-Forman.

«Una de las víctimas de la campaña de denuncias legales maliciosas fue un bufete de abogados», dijeron los investigadores. en una publicación esta semana. «El señuelo superó con éxito los filtros de correo electrónico del bufete de abogados y ninguno de los empleados del bufete lo detectó como sospechoso».

El propósito final de la instalación de la puerta trasera no está claro. FIN7 normalmente lleva a cabo ataques dirigidos a sistemas de punto de venta en restaurantes, casinos y hoteles de comidas informales; o se infiltra en sistemas para robar información de tarjetas de crédito y venderla. Desde 2020, también ha agregado ataques de ransomware / exfiltración de datos a su combinación, seleccionando cuidadosamente los objetivos en función de los ingresos utilizando el servicio ZoomInfo.

«Es plausible que grupos expertos en delitos informáticos financieros, como FIN7, estén proporcionando acceso inicial a grupos expertos en ransomware, como REvil (también conocido como Sodinokibi), Ryuk, etc., como una forma de monetizar su acceso», según TRU.

Según el análisis, la campaña legal estaba orientada a explotar una cierta cantidad de zeitgeist. Los mensajes se enviaron en la primera semana de junio, solo un mes antes de la fecha límite de reclamaciones para una verdadera demanda colectiva contra Brown-Forman relacionada con una violación de ransomware que sufrió la compañía en agosto pasado.

«La infame banda REvil tomó el crédito para el ataque de ransomware «, según TRU». Aunque la compañía dijo que pudo detener el ataque antes de que sus datos pudieran encriptarse, la banda REvil filtró en su blog / sitio que tenía acceso a los sistemas Brown-Forman durante más de un mes y robó un terabyte de datos corporativos. . «

Si bien el uso de una causa de cebo tan específica en una campaña a gran escala puede parecer contradictorio, puede producir peces rentables, anotaron los investigadores.

«Los usuarios comerciales podrían sospechar de inmediato una queja legal aleatoria, que llega por correo electrónico, de una gran compañía de licores y vinos», escribieron. “Sin embargo, los bufetes de abogados tratan con regularidad las quejas legales en todas las verticales, por lo que el contenido no se consideraría fuera de lo común. Por tanto, los despachos de abogados pueden ser más sensibles a este tema ”.

Esta no es la única actividad de FIN7 en los últimos tiempos; Los investigadores también observaron una campaña que usaba un señuelo de notificación de entrega de correo de USPS y una campaña temática de Windows 11 que implementaba el malware JSSLoader.

«Cualesquiera que sean las intenciones específicas de FIN7, parece que están ajustando activamente sus señuelos para maximizar el éxito de la campaña», según los investigadores de TRU. «Los ciberdelincuentes utilizan señuelos oportunos e intentan predecir la susceptibilidad de un tema para sus campañas de amenazas, y utilizarán señuelos construidos en torno a tendencias sociales, crisis globales y eventos de rutina».

A pesar de los problemas de encarcelamiento del grupo, la infraestructura de FIN7 parece ser sólida, dijeron los investigadores, con una red de servidores lista para usar:

  • El servidor de descarga principal: browm-forman[.]cómo
  • Servidores intermedios que alojan cargas útiles de la primera fase: opuestos opuestos[.]com, jurisdiccional[.]com, halfious[.]com, paloma[.]cómo
  • Control de víctimas: fairedale[.]com («Dada su posición en la redirección y el manejo de JavaScript, su función puede ser verificar si una computadora visitante es una víctima susceptible (y no, por ejemplo, un investigador de seguridad) antes de redirigir al usuario a la carga maliciosa»)
  • Dominios de comando y control (C2) para la primera carga útil: unidad[.]com, sin lesiones[.]com, privación[.]com, jurisdiccional[.]com, legislativo[.]cómo

TRU observó recientemente el registro de un nuevo dominio similar dentro de esta red de infraestructura, brown-formam[.]com, el 9 de junio.

«Si bien no se observó el uso en la naturaleza, las plantillas de certificado y registro de TLS coinciden con la página de destino anterior», dijeron los investigadores. «Estimamos que este dominio reemplazará al anterior, ya que ha sido expuesto públicamente».

Específicamente para el caso Brown-Forman, los actores de amenazas FIN7 registraron la infraestructura meses antes de que TRU la viera en acción.

“O los atacantes lo usaron durante meses antes de que eSentire viera la actividad, o lo convirtieron en un arma después de un período de tiempo para evadir el filtrado de correo electrónico por dominios recién registrados. Si es así, esto muestra cierto grado de planificación y refinamiento por parte de FIN7 ”.

.

Recuerda compartir en en tu Twitter y Facebook para que tus colegas lo consulten

??? ? ? ???

Comparte