El grupo de ciberdelincuentes FIN6 vuelve a atacar

Según IBM, FIN6 ofusca los comandos de PowerShell con codificación base64 y compresión gzip, genera nombres de servicio aleatorios en los registros de eventos de Windows para evitar sospechas.

malware fruitly mac ok

Recientemente se ha detectado una nueva campaña de malware que ataca a los sistemas de punto de venta tanto en Estados Unidos como en Europa. El pasado miércoles, investigadores de IBM X-Force IRIRS señalaron al grupo de ciberdelincuentes FIN6 como artífices de este ataque. 

Se trata de la segunda vez que se documenta una campaña que parece ser obra de FIN6. Este grupo surgió por primera vez en 2016 cuando salió a la luz que los actores de la amenaza habían robado millones de números de tarjetas de crédito.

En aquel momento el grupo utilizó las credenciales que roban malware de puerta trasera llamado Grabnew para recolectar detalles de la cuenta, antes de usar herramientas disponibles públicamente para mapear redes comprometidas. Los ciberdelincuentes luego encontrarían y explotarían los dispositivos PoS usando el malware Trinity, también conocido como FrameworkPOS, que es capaz de infiltrar los componentes de memoria PoS y filtrar datos.

Esta última campaña se mueve en pistas similares. Los investigadores de X-Force IRIS señalan que el 90% de los ataques que se llevan a cabo actualmente usan las mismas tácticas y herramientas de ataque identificadas en la ola original de ataques contra los sistemas PoS.

Sin embargo, el grupo ya no está limitado a Grabnew y Trinity, ya que FIN6 ahora también emplea el Comando de Instrumentación de Administración de Windows (WMIC) para "automatizar la ejecución remota de comandos y scripts de PowerShell", así como también el marco Metasploit.

A principios de este mes, los investigadores de Symantec exploraron cómo WMIC y las extensiones de archivo de Windows poco conocidas estaban siendo objeto de abuso por parte de los agentes de amenazas en las campañas de robo de datos de la misma manera.

Las herramientas de FIN6 son generalmente simples y están disponibles en línea, pero la sofisticación del grupo de amenazas no radica en su conjunto de herramientas, sino en su capacidad para eludir los sistemas de seguridad a través del sigilo.

Según IBM, FIN6 ofusca los comandos de PowerShell con codificación base64 y compresión gzip, genera nombres de servicio aleatorios en los registros de eventos de Windows para evitar sospechas y también genera dinámicamente nombres de archivos para binarios en el disco.

Además, el grupo usa parámetros específicos de PowerShell para eludir las protecciones antivirus, crea un archivo winhlp.dat como nombre de archivo de portada para un script de PowerShell malicioso diseñado para inyectar FrameworkPOS en "lsass.exe" y excluirá algunos procesos específicos para la segmentación de Trinity para evitar la interrupción del sistema.

"Si bien algunas de estas tácticas, técnicas y procedimientos (TTP) pueden ser efectos secundarios de las herramientas que utilizaron los actores FIN6, o específicas del entorno en el que los actores estaban operando, creemos que muchas representan nuevas TTP que podrían convertirse en características de los evolucionados FIN6 procedimientos operativos estándar ", explican los investigadores.

De momento se desconoce cuántas empresas pueden haberse convertido en víctimas en la última campaña.

 



TE PUEDE INTERESAR...

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper