wmtech logo

El grupo de ciberdelincuentes FIN7 está apuntando a la industria automotriz de EE. UU. con la puerta trasera Carbanak

Luis Quiles
Luis Quiles
cyberattack
Ciber Ataque, Malware

El infame sindicato de ciberdelincuencia conocido como FIN7 ha sido vinculado a una campaña de spear-phishing dirigida a la industria automotriz de EE. UU. para distribuir una puerta trasera conocida como Carbanak (también conocida como Anunak).

«FIN7 identificó a empleados de la empresa que trabajaban en el departamento de TI y tenían niveles más altos de derechos administrativos», dijo el equipo de investigación e inteligencia de BlackBerry en un nuevo informe.

«Utilizaron el anzuelo de una herramienta gratuita de escaneo de IP para ejecutar su conocida puerta trasera Anunak y obtener una primera posición utilizando binarios, scripts y bibliotecas de ‘living off the land’ (LOLBAS)».

FIN7, también conocido como Carbon Spider, Elbrus, Gold Niagara, ITG14 y Sangria Tempest, es un grupo de ciberdelincuentes conocido por su motivación financiera, que tiene un historial de atacar una amplia gama de sectores industriales para distribuir malware capaz de robar información de sistemas de punto de venta (PoS) desde 2012.

En años recientes, este actor de amenazas ha transitado hacia la realización de operaciones de ransomware, distribuyendo diversas cepas como Black Basta, Cl0p, DarkSide y REvil. Hasta la fecha, dos miembros ucranianos del grupo, Fedir Hladyr y Andrii Kolpakov, han sido condenados a prisión en los Estados Unidos.

exploit

La última campaña descubierta por BlackBerry a finales de 2023 comienza con un correo electrónico de spear-phishing que incrusta un enlace con trampa apuntando a un sitio falso («advanced-ip-sccanner[.]com») que se hace pasar por Advanced IP Scanner.

«Este sitio falso redirigía a ‘myipscanner[.]com’, que a su vez redirigía a un Dropbox propiedad del atacante que descargaba el ejecutable malicioso WsTaskLoad.exe en la máquina de la víctima», dijo la empresa de ciberseguridad canadiense.

El binario, por su parte, inicia un proceso de múltiples etapas que finalmente lleva a la ejecución de Carbanak. También está diseñado para entregar cargas adicionales como POWERTRASH y establecer persistencia mediante la instalación de OpenSSH para acceso remoto.

Actualmente no se sabe si los actores de amenazas tenían la intención de desplegar ransomware, ya que el sistema infectado fue detectado temprano y eliminado de la red antes de que pudiera alcanzar la etapa de movimiento lateral.

Aunque el objetivo del ataque era un «gran fabricante automotriz multinacional» con sede en EE. UU., BlackBerry dijo que encontró varios dominios maliciosos similares en el mismo proveedor, lo que indica que puede ser parte de una campaña más amplia de FIN7.

Para mitigar los riesgos planteados por tales amenazas, se recomienda que las organizaciones estén atentas a intentos de phishing, habiliten la autenticación multifactor (MFA), mantengan todo el software y los sistemas actualizados y monitoreen los intentos de inicio de sesión inusuales.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Descubre los últimos artículos del blog sobre seguridad cibernética.