El actor de amenazas con motivación financiera conocido como FIN7 ha sido asociado con una puerta trasera basada en Python denominada Anubis (que no debe confundirse con un troyano bancario para Android del mismo nombre). Esta herramienta maliciosa puede otorgarles acceso remoto a sistemas Windows comprometidos.
«Este malware permite a los atacantes ejecutar comandos remotos de shell y otras operaciones del sistema, dándoles control total sobre una máquina infectada», dijo la empresa suiza de ciberseguridad PRODAFT en un informe técnico sobre el malware.
FIN7, también llamado Carbon Spider, ELBRUS, Gold Niagara, Sangria Tempest y Savage Ladybug, es un grupo ruso de cibercrimen conocido por su conjunto de familias de malware en constante evolución y expansión para obtener acceso inicial y exfiltración de datos. En los últimos años, se dice que el actor de amenazas ha pasado a ser un afiliado de ransomware.
En julio de 2024, se observó que el grupo utilizaba varios alias en línea para anunciar una herramienta llamada AuKill (también conocida como AvNeutralizer) que es capaz de eliminar herramientas de seguridad en un probable intento de diversificar su estrategia de monetización.
Se cree que Anubis se propaga a través de campañas de malspam que normalmente incitan a las víctimas a ejecutar la carga alojada en sitios de SharePoint comprometidos.
El punto de entrada de la infección, que se entrega en forma de archivo ZIP, es un script de Python diseñado para descifrar y ejecutar la carga principal ofuscada directamente en la memoria. Una vez iniciada, la puerta trasera establece comunicaciones con un servidor remoto a través de un socket TCP en formato codificado Base64
Las respuestas del servidor, también codificadas en Base64, le permiten recopilar la dirección IP del host, cargar/descargar archivos, cambiar el directorio de trabajo actual, tomar variables de entorno, alterar el Registro de Windows, cargar archivos DLL en la memoria usando PythonMemoryModule y finalizarse.
En un análisis independiente de Anubis, la empresa de seguridad alemana GDATA dijo que la puerta trasera también admite la capacidad de ejecutar respuestas proporcionadas por el operador como un comando shell en el sistema víctima.
«Esto permite a los atacantes realizar acciones como registrar teclas, tomar capturas de pantalla o robar contraseñas sin almacenar directamente estas capacidades en el sistema infectado», dijo PRODAFT. «Al mantener la puerta trasera lo más liviana posible, reducen el riesgo de detección y al mismo tiempo mantienen la flexibilidad para ejecutar más actividades maliciosas».
