Um conhecido grupo de hackers que esteve por trás do Carbanak RAT (Remote Access Trojan ou Trojan de Acesso Remoto), está de volta, agora com o malware Lizar, que pode ser usado para coletar todos os tipos de informações de máquinas Windows.

O grupo FIN7, com foco em ganhos financeiros, está espalhando um backdoor chamado Lizar, também conhecido como Tirion, sob o pretexto de ser uma ferramenta de Pentesting do Windows para Hackers Éticos (Ethical Hackers).

Um malware disfarçado de ferramenta de segurança?

Conforme a Equipe de Pesquisa de Ameaças Cibernéticas da BI.ZONE, o FIN7 finge ser uma organização legítima que vende uma ferramenta de análise de segurança. “Eles não medem esforços para parecerem verdadeiros“, disseram os pesquisadores. “Esses grupos contratam funcionários que nem mesmo sabem que estão trabalhando com um malware de verdade ou que seu empregador é um grupo criminoso”.

Mais sobre o FIN7

Desde 2015, o grupo FIN7 tem como alvo sistemas de PDV de restaurantes, cassinos e hotéis. O grupo normalmente realiza ataques de phishing com malware contra as vítimas, na esperança de conseguirem se infiltrar nos sistemas alvo para roubar dados de cartões de créditos e vendê-lo no mercado negro da Internet, a Dark Web. Mas desde 2020, adicionaram em seu arsenal ataques de exfiltração de dados via ransomware, onde selecionam cuidadosamente os alvos de acordo com a sua receita, por meio do serviço ZoomInfo, disseram os pesquisadores.

Entre as vítimas do malware incluem cassinos, várias instituições educacionais e empresas farmacêuticas nos EUA, além de uma empresa de tecnologia com sede na Alemanha e uma instituição financeira no Panamá.

O Lizar Toolkit

O Lizar é um kit de ferramentas diversificado e complexo”, de acordo com a empresa. “Ele ainda está em desenvolvimento e em fase de testes, mas já está sendo utilizado para controlar computadores infectados, localizados principalmente nos EUA.”

O kit possui estrutura similar ao Carbanak, disseram os pesquisadores. Ele possui um loader e vários plugins que são utilizados em diferentes tarefas. Juntos, são executados em um sistema infectado e podem ser combinados com um bot client, que se comunica com um servidor remoto (C2 ou mais conhecido como Servidor de Comando e Controle) controlado pelo grupo.

Um bot com estrutura modular

Caso não saiba, um bot é um componente de software que roda na máquina da vítima e executa determinadas ações.

A arquitetura modular do bot torna a ferramenta escalonável e permite o desenvolvimento independente de todos os componentes”, disse a BI.ZONE. “Detectamos três tipos de bots: DLLs, executáveis (exe) e scripts em PowerShell, que executam uma DLL no espaço de endereço do processo do PowerShell.”

Plugins com diversos estágios

Os plugins são enviados do server para o loader e são executados quando uma determinada ação é realizada na aplicação client, de acordo com a BI.ZONE.

A tabela abaixo explica o funcionamento do Lizar e seus componentes:

Nome do componenteDescriçãoAtividade do componente
Lizar clientSoftware com interface gráfica que membros do FIN7 usam para controlar o loader dos dispositivos infectados. Foi feito para rodar no Windows.O software comunica com o server, envia comandos para o loader da máquina infectada por meio do server e recebe o resultado dos comandos.
Lizar serverSoftware que permite a comunicação entre o client e o loader. O software roda em um servidor Linux remoto.
Lizar loaderResponsável por baixar os plugins.O loader se comunica com o server e executa os plugins necessários sob o comando do server.
Lizar pluginsPlugins localizados no server.O resultado da execução de cada plugin é enviado para o server e do server para o client.
Lizar plugins/extraPlugins localizados no client.Plugins localizados no diretório plugins/extra são transferidos do client para o server, e então do server para o loader (que está localizado no sistema infectado).

O fluxo abaixo ilustra o que foi mostrado na tabela:

Lizar: Conheça o [malware] que se disfarça de ferramenta de segurança
Fluxo de operação do Lizard Toolkit

Veja mais detalhes sobre o que fo mostrado:

  • O usuário seleciona um comando na interface do Lizar client;
  • A aplicação no lado do servidor, ou Lizar Server, recebe as informações sobre o comando selecionado;
  • O server encontra um plugin adequado e o envia para o loader;
  • O loader então, executa o plugin e armazena o resultado da execução em uma área de memória especialmente alocada no heap;
  • O server recupera os resultados da execução do plugin e os envia ao client; e
  • O client exibe os resultados do plugin.

Para entender melhor alguns pontos, explicamos:

  • O loader e os plugins rodam no sistema infectado e podem ser combinados no componente bot;
  • Podemos considerar que a máquina que possui o componente client é a do profissional de segurança que comprou a ferramenta, achando que era apenas uma ferramenta de pentest para testar em algum alvo;
  • E a máquina que possui o componente bot é o possível alvo testado pelo profissional de segurança;
  • No final das contas, ambas as máquinas (que possuem o client e o bot) são vítimas do FIN7 (o componente server), que coleta informações de todos os componentes.

Os plugins são feitos para carregar outras ferramentas como o Mimikatz ou o Carbanak, recuperar informações da máquina da vítima, realizar capturas de tela, coletar credenciais, recuperar históricos de navegação e muito mais.

Os comandos específicos do bot são os seguintes:

  • Command Line – obtêm uma shell no sistema infectado;
  • Executer – incia um módulo adicional;
  • Grabber – executa um dos plugins que coletam senhas em navegadores, no Remote Desktop Protocol (RDP) ou no Windows;
  • Info – coleta informações sobre o sistema;
  • Jump to – migra o loader para outro processo;
  • Kill – “mata” o processo do plugin;
  • List process – obtenha uma lista de processos em execução na máquina da vítima;
  • Mimikatz – execute a ferramenta Mimikatz para extrair senhas armazenadas no Windows da vítima;
  • Network analysis – execute um dos plugins para coletar informações do Active Directory e da rede;
  • New session – cria outra sessão do loader (executa uma cópia do loader no sistema infectado);
  • Rat – execute o Carbanak; e
  • Screenshot – tira o “print” de tela.

O Lizar Server, por sua vez, é escrito em .NET e roda em um servidor Linux remoto, disseram os pesquisadores. Ele suporta comunicações criptografadas com o bot client.

Lizar: Conheça o [malware] que se disfarça de ferramenta de segurança
Interface do client mostrando uma lista de computadores infectados |
Lizar: Conheça o [malware] que se disfarça de ferramenta de segurança
Interface do client mostrando os comandos que podem ser executados no bot

Os dados antes de serem enviados ao servidor, são criptografados em uma chave de sessão com comprimento que varia de 5 a 15 bytes e depois na chave especificada na configuração (31 bytes)”, explicam os pesquisadores. “Se a chave especificada na configuração não correponder à chave no servidor, nenhum dado será enviado do servidor”.

Cibercriminosos se passando por pesquisadores de segurança

Essa tática de se passar por empresa de segurança e, ao mesmo tempo, contribuir para a insegurança, não é algo novo, mesmo para o FIN7. No passado, a BI.ZONE observou que o Carbanak tinha o pretexto de ser uma ferramenta ligada a Checkpoint ou a Force Point, conforme pode ver na imagem abaixo:

Lizar: Conheça o [malware] que se disfarça de ferramenta de segurança
Interface da versão 3.7.4 do Carbanak

No início desse ano, um grupo de APT (Ameaça Persistente Avançada) norte-koreano chamado Zinc, que tem ligações com o famoso APT Lazarus, orquestrou dois ataques separados visando pesquisadores de segurança.

O grupo utilizou um elaborado esforço de engenharia social para enganar os pesquisadores, estabelecendo assim uma relação de confiança com eles. Depois de muita conversa, os invasores forneceram aos pesquisadores um projeto do Visual Studio infectado com malware que poderia instalar um backdoor em seus sistemas Windows.

Os pesquisadores de segurança infectados nesses ataques estavam utilizando versões Windows 10 e do navegador Chrome totalmente corrigidas e atualizadas, de acordo com o Google TAG na época, o que sinalizou que os invasores provavelmente estariam usando vulnerabilidades de zero-day em sua campanha.

O Zinc voltou a atuar em abril, usando táticas de redes social, criando perfis no Twitter e no LinkedIn, para uma empresa falsa chamada “SecuriElite”, que pretendia ser uma empresa de segurança ofensiva localizada na Turquia. A empresa alegava oferecer serviços de Pentest, análises de segurança e exploits e pretendia recrutar ativamente pessoal de segurança cibernética por meio do LinkedIn.

Fonte:

https://threatpost.com/fin7-backdoor-ethical-hacking-tool/166194/

https://bi-zone.medium.com/from-pentest-to-apt-attack-cybercriminal-group-fin7-disguises-its-malware-as-an-ethical-hackers-c23c9a75e319

Configura algumas notícias sobre malware

O que achou?

Animado
0
Feliz
1
Amei
0
Não tenho certeza
0
Bobo
0
RMJ
Adoro letras verdes sob um fundo preto...

More in:Security