Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Redazione RHC : 17 Maggio 2021 07:00
Siamo alle solite. L’inventiva dei criminali informatici è sempre un passo avanti rispetto a chi difende le organizzazioni.
Questa volta, la famigerata cyber-gang FIN7, un gruppo di criminali informatici motivato finanziariamente, sta diffondendo una backdoor chiamata Lizar con la scusa di essere uno strumento di test di sicurezza per Windows per gli hacker etici.
Sei un Esperto di Formazione?
Entra anche tu nel Partner program!
Accedi alla sezione riservata ai Creator sulla nostra Academy e scopri i vantaggi riservati ai membri del Partner program.
Per ulteriori informazioni, scrivici ad [email protected] oppure su Whatsapp al 379 163 8765
Supporta RHC attraverso:
Secondo il BI.ZONE Cyber Threats Research Team, FIN7 finge di essere un’organizzazione legittima che propone uno strumento di analisi della sicurezza. Fanno di tutto per essere verosimili, hanno detto i ricercatori:
“Questi gruppi assumono dipendenti che non sono nemmeno consapevoli di lavorare con malware reale o che il loro datore di lavoro è un vero gruppo criminale”.
Dal 2015, FIN7 ha mirato a sistemi di punti vendita presso ristoranti casual, casinò e hotel.
Il gruppo utilizza in genere attacchi di phishing contenenti malware contro le vittime nella speranza che siano in grado di infiltrarsi nei sistemi per rubare i dati delle carte di credito e poi venderli nelle nderground.
Dal 2020, il gruppo ha prodotto anche ransomware capaci di esfiltrare i dati, selezionando attentamente gli obiettivi in base alle entrate utilizzando il servizio ZoomInfo, hanno osservato i ricercatori.
Il toolkit Lizar è strutturalmente simile a Carbanak, hanno detto i ricercatori. Consiste in un software modulare con vari plugin che vengono utilizzati per diverse attività. Insieme vengono eseguiti su un sistema infetto e possono essere combinati nel client bot Lizar, che a sua volta comunica con un server remoto C2C.
“L’architettura modulare del bot lo rende scalabile e consente lo sviluppo indipendente di tutti i componenti”
Secondo l’analisi.
“Abbiamo rilevato tre tipi di bot: DLL, EXE e script di PowerShell, che eseguono una DLL nello spazio degli indirizzi del processo di PowerShell.”
I plugin vengono inviati dal server al loader e vengono eseguiti quando una determinata azione viene eseguita nell’applicazione client Lizar, secondo BI.ZONE.
I plugin sono progettati per caricare altri strumenti come Mimikatz o Carbanak, recuperare informazioni dalla macchina vittima, acquisire schermate, raccogliere credenziali, recuperare le cronologie del browser e altro ancora.
I comandi bot specifici sono i seguenti:
L’applicazione server Lizar, nel frattempo, è scritta utilizzando il framework .NET e viene eseguita su un host Linux remoto, hanno detto i ricercatori. Supporta comunicazioni crittografate con il client bot.
“Prima di essere inviati al server, i dati vengono crittografati su una chiave di sessione con una lunghezza compresa tra 5 e 15 byte e quindi sulla chiave specificata nella configurazione (31 byte)”
hanno spiegato i ricercatori
“Se la chiave specificata nella configurazione (31 byte) non corrisponde alla chiave sul server, nessun dato viene inviato dal server.”
Fonte
https://threatpost.com/fin7-backdoor-ethical-hacking-tool/166194/
Redazione