Acorde a especialistas en forense digital, el grupo de hackers identificado como FIN7 ha desarrollado una nueva herramienta maliciosa, capaz de entregar cargas útiles directamente en la memoria del sistema objetivo, además de incluir un módulo que se conecta al software de administración remota utilizado por NCR Corporation, compañía fabricante de cajeros automáticos.

Los expertos, miembros del equipo de investigación Mandiant, de la firma de seguridad FireEye, bautizaron a este malware como BOOSTWRITE, y mencionan que algunas de las muestras que han recolectado de este malware son capaces de entregar más de una carga útil, incluyendo el peligroso backdoor conocido como Carbanak, frecuentemente asociado a las actividades de estos hackers.

Además, los expertos en forense digital mencionan que BOOSTWRITE entrega un troyano de acceso remoto (RAT), identificado como RSFSNIFFER, que descifra las cargas útiles usando las claves enviadas por los hackers desde el lanzamiento del malware. “El malware usa una técnica de secuestro de búsqueda de DLL para cargar sus propias DDL maliciosas en la memoria del sistema objetivo, permitiéndole descargar el vector de inicialización y la clave para descifrar las cargas integradas”, mencionan los expertos.

Al final, cuando la clave de cifrado y el vector de inicialización han sido descargados, BOOSTWRITE descifra las cargas útiles y comprueba que el proceso se haya completado exitosamente. De ser así, millones de usuarios de cajeros automáticos de todo el mundo podrían estar expuestos.

Las actividades de FIN7 (también identificado como Cobalt o Carbanak) fueron detectadas por primera vez a mediados de 2015, atacando específicamente algunas instituciones bancarias y terminales de punto de venta para obtener ganancias gracias al peligroso backdoor Carbanak.

A pesar de que hace algunos meses una operación internacional permitió el arresto de algunos líderes de este grupo, expertos en forense digital del Instituto Internacional de Seguridad Cibernética (IICS) mencionan que FIN7 ha logrado consolidar nuevos liderazgos e incluso desarrollar nuevas variantes de ataque, incluyendo el uso de nuevas cepas de malware, como BOOSTWRITE. Además de FireEye, otras firmas de seguridad, como Kaspersky Labs, afirman haber detectado múltiples campañas de hacking ligadas a FIN7, que ha estado empleando variantes de malware como CARBANAK y BABYMETAL, por lo que es altamente probable que esta agrupación de cibercriminales siga evolucionando.

Fuente: noticiasseguridad.com

Compartir