El actor de amenaza de motivación financiera conocido como FIN7 se ha vinculado a una puerta trasera con sede en Python emplazamiento Anubis (que no debe confundirse con un troyano de banca Android del mismo nombre) que puede otorgarles camino remoto a los sistemas de Windows comprometidos.
«Este malware permite a los atacantes ejecutar comandos de shell remotos y otras operaciones del sistema, dándoles un control total sobre una máquina infectada», dijo la compañía suiza de seguridad cibernética ProDaft en un crónica técnico del malware.
FIN7, asimismo llamado Carbon Spider, Elbrus, Gold Niagara, Sangria Tempest y Savage Ladybug, es un agrupación de delitos cibernéticos rusos conocido por su conjunto de familias de malware en constante cambio y en expansión para obtener camino original y exfiltración de datos. En los últimos primaveras, se dice que el actor de amenazas hizo la transición a un afiliado de ransomware.
En julio de 2024, se observó el agrupación utilizando varios apelativo en sarta para anunciar una útil emplazamiento Aukill (asimismo conocida como Avneutralizer) que es capaz de terminar las herramientas de seguridad en un probable intento de diversificar su táctica de monetización.
Se cree que Anubis se propaga a través de campañas de Malspam que generalmente atraen a las víctimas a ejecutar la carga útil alojada en sitios de SharePoint comprometidos.
Entregado en forma de un archivo ZIP, el punto de entrada de la infección es un script de Python diseñado para descifrar y ejecutar la carga útil principal ofuscada directamente en la memoria. Una vez osado, la puerta trasera establece comunicaciones con un servidor remoto a través de un socket TCP en formato codificado Base64.
Las respuestas del servidor, asimismo codificadas en Base64, le permiten compendiar la dirección IP del host, cargar/descargar archivos, cambiar el directorio de trabajo contemporáneo, obtener variables de entorno, alterar el registro de Windows, cargar archivos DLL en memoria utilizando pythonmemorymodule y terminarse.
En un investigación independiente de ANUBIS, la compañía de seguridad alemana GDATA dijo que la puerta trasera asimismo respalda la capacidad de ejecutar respuestas proporcionadas por el cámara como un comando shell en el sistema de víctimas.
«Esto permite a los atacantes realizar acciones como el keylogging, tomar capturas de pantalla o robar contraseñas sin acumular directamente estas capacidades en el sistema infectado», dijo ProDaft. «Al apoyar la puerta trasera lo más liviana posible, reducen el aventura de detección mientras mantienen flexibilidad para ejecutar nuevas actividades maliciosas».
