Redazione RHC : 17 Maggio 2021 07:00
Siamo alle solite. L’inventiva dei criminali informatici è sempre un passo avanti rispetto a chi difende le organizzazioni.
Questa volta, la famigerata cyber-gang FIN7, un gruppo di criminali informatici motivato finanziariamente, sta diffondendo una backdoor chiamata Lizar con la scusa di essere uno strumento di test di sicurezza per Windows per gli hacker etici.
Sei un Esperto di Formazione?
Entra anche tu nel Partner program! Accedi alla sezione riservata ai Creator sulla nostra Academy e scopri i vantaggi riservati ai membri del Partner program.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Secondo il BI.ZONE Cyber Threats Research Team, FIN7 finge di essere un’organizzazione legittima che propone uno strumento di analisi della sicurezza. Fanno di tutto per essere verosimili, hanno detto i ricercatori:
“Questi gruppi assumono dipendenti che non sono nemmeno consapevoli di lavorare con malware reale o che il loro datore di lavoro è un vero gruppo criminale”.
Dal 2015, FIN7 ha mirato a sistemi di punti vendita presso ristoranti casual, casinò e hotel.
Il gruppo utilizza in genere attacchi di phishing contenenti malware contro le vittime nella speranza che siano in grado di infiltrarsi nei sistemi per rubare i dati delle carte di credito e poi venderli nelle nderground.
Dal 2020, il gruppo ha prodotto anche ransomware capaci di esfiltrare i dati, selezionando attentamente gli obiettivi in base alle entrate utilizzando il servizio ZoomInfo, hanno osservato i ricercatori.
Il toolkit Lizar è strutturalmente simile a Carbanak, hanno detto i ricercatori. Consiste in un software modulare con vari plugin che vengono utilizzati per diverse attività. Insieme vengono eseguiti su un sistema infetto e possono essere combinati nel client bot Lizar, che a sua volta comunica con un server remoto C2C.
“L’architettura modulare del bot lo rende scalabile e consente lo sviluppo indipendente di tutti i componenti”
Secondo l’analisi.
“Abbiamo rilevato tre tipi di bot: DLL, EXE e script di PowerShell, che eseguono una DLL nello spazio degli indirizzi del processo di PowerShell.”
I plugin vengono inviati dal server al loader e vengono eseguiti quando una determinata azione viene eseguita nell’applicazione client Lizar, secondo BI.ZONE.
I plugin sono progettati per caricare altri strumenti come Mimikatz o Carbanak, recuperare informazioni dalla macchina vittima, acquisire schermate, raccogliere credenziali, recuperare le cronologie del browser e altro ancora.
I comandi bot specifici sono i seguenti:
L’applicazione server Lizar, nel frattempo, è scritta utilizzando il framework .NET e viene eseguita su un host Linux remoto, hanno detto i ricercatori. Supporta comunicazioni crittografate con il client bot.
“Prima di essere inviati al server, i dati vengono crittografati su una chiave di sessione con una lunghezza compresa tra 5 e 15 byte e quindi sulla chiave specificata nella configurazione (31 byte)”
hanno spiegato i ricercatori
“Se la chiave specificata nella configurazione (31 byte) non corrisponde alla chiave sul server, nessun dato viene inviato dal server.”
Fonte
https://threatpost.com/fin7-backdoor-ethical-hacking-tool/166194/
A soli 13 anni, Dylan è diventato il più giovane ricercatore di sicurezza a collaborare con il Microsoft Security Response Center (MSRC), dimostrando come la curiosità e la perseveranza...
Secondo un nuovo rapporto del gruppo per i diritti umani Amnesty International, pubblicato dopo quasi due anni di ricerche sulla situazione, la Cambogia resta un punto caldo sulla mappa mondiale della...
Hunters International, il gruppo responsabile di uno dei più grandi attacchi ransomware degli ultimi anni, ha annunciato ufficialmente la cessazione delle sue attività. In una dichiarazione ...
I ricercatori di Okta hanno notato che aggressori sconosciuti stanno utilizzando lo strumento di intelligenza artificiale generativa v0 di Vercel per creare pagine false che imitano qu...
Google è al centro di un’imponente causa in California che si è conclusa con la decisione di pagare oltre 314 milioni di dollari agli utenti di smartphone Android nello stato. Una giu...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006