Grupo global de ameaças Fin7 retorna com novo malware SQLRat

O notoriamente bem conhecido grupo de ameaças Fin7, também conhecido como Carbanak, está de volta com um novo conjunto de ferramentas de administrador e formas de malware nunca visto antes.

O Fin7 está ativo desde pelo menos 2015 e desde que o início do grupo foi conectado a ataques contra centenas de empresas em todo o mundo.

Mais de 100 empresas foram impactadas apenas nos Estados Unidos, com muitas vítimas nos setores de catering, jogos e hospitalidade. Acredita-se que os hackers tenham roubado pelo menos 15 milhões de registros de cartões de crédito dos EUA em mais de 6.500 terminais de pontos de venda (PDS) em milhares de locais até o momento.

Organizações no Reino Unido, França e Austrália também são comumente visadas. 

Em agosto, o Departamento de Justiça dos Estados Unidos (DoJ) prendeu três cidadãos ucranianos suspeitos de pertencerem ao alto escalão do Fin7, que operava por trás de uma companhia aparentemente legítima chamada Combi Security. Os suspeitos foram localizados e presos na Alemanha, Polônia e Espanha.

Apesar das prisões, parece que o grupo continua ativo e dedicado à sua causa criminosa, agora destacado pela evolução das ferramentas que Fin7 usa para comprometer suas vítimas.

Na quarta-feira, pesquisadores do Flashpoint publicaram novas pesquisas relacionadas às atividades recentes do Fin7.

Fin7 frequentemente usa um vetor de ataque muito comum, o phishing, em tentativas de enganar possíveis vítimas no download e na execução de malware. São enviados e-mails de phishing carregados com anexos maliciosos, e um deles, em particular, revelou a existência de uma nova forma de malware.

O Flashpoint chama o novo exemplo de SQLRat. O malware é capaz de derrubar e executar scripts SQL em um sistema comprometido, que a firma de segurança cibernética chama de “engenhoso”, já que “eles não deixam artefatos por trás do malware tradicional”. Isso, por sua vez, torna o rastreamento de hackers, a análise forense e a engenharia reversa extremamente difíceis.

O script cria uma conexão com um banco de dados da Microsoft controlado pelo Fin7 e executa várias tabelas, incluindo a gravação em disco de uma versão personalizada do TinyMe, uma ferramenta de código aberto Meterpreter – mas os agentes de ameaça não estão limitados naquilo que podem escolher para baixar ou executar em uma máquina comprometida.

O SQLRat é distribuído através de uma imagem sobreposta com um acionador de formulários vb que solicita aos destinatários de um email de phishing “Desbloquear Conteúdos Protegidos”. Se clicado duas vezes, o formulário executa um script VB para iniciar o processo de infecção e também cria duas entradas agendadas da tarefa para manter a persistência.

Esta técnica não foi vista antes nas táticas do Fin7.

Outra nova amostra de malware, apelidada DNSbot, é um backdoor multiprotocolo que opera sobre o tráfego DNS para trocar comandos e enviar dados de e para sistemas infectados. O malware também é capaz de mudar para canais criptografados, incluindo HTTPS e SSL.

Também é digno de nota um novo painel de ataque chamado Astra. Escrito em PHP, o Astra funciona como um sistema de gerenciamento de scripts que envia scripts de ataque para os PCs comprometidos. 

O Cobalt Strike, uma ferramenta legítima de testes de penetração que também se tornou, infelizmente, uma das favoritas dos grupos de hackers, incluindo Fin7, continha uma vulnerabilidade corrigida a partir deste ano – que revelou involuntariamente não apenas instâncias genuínas do Cobalt Strike, mas também uma infinidade de servidores de comando-e-controle (C2) pertencentes a hackers fazendo uso da ferramenta. 

Adriano Lopes

Adriano Lopes é o criador e proprietário do MundoHacker.net.br. Desenvolvedor Web, Hacker Ético, Programador C, Python, Especialista em Segurança da Informação.