FIN7 Implanta Backdoor Anubis para controlar sistemas Windows por meio de sites SharePoint comprometidos

O grupo hacker com motivação financeira conhecido como FIN7 foi associado ao uso de um backdoor escrito em Python chamado Anubis (não confundir com o trojan bancário para Android de mesmo nome), que permite o acesso remoto a sistemas Windows comprometidos.

“Esse malware possibilita que os hackers executem comandos de terminal remotamente e realizem outras operações no sistema, garantindo controle total sobre a máquina infectada”, afirmou a empresa suíça de cibersegurança PRODAFT em um relatório técnico sobre a ameaça.

O FIN7 — também conhecido pelos nomes Carbon Spider, ELBRUS, Gold Niagara, Sangria Tempest e Savage Ladybug — é um grupo hacker russo notório por desenvolver e atualizar constantemente uma variedade de malwares para obter acesso inicial e extrair dados. Nos últimos anos, o grupo passou a atuar como afiliado em campanhas de ransomware.

Em julho de 2024, o grupo foi visto utilizando diversos pseudônimos online para promover uma ferramenta chamada AuKill (também conhecida como AvNeutralizer), capaz de desativar ferramentas de segurança, indicando uma tentativa de diversificação na estratégia de monetização.

O backdoor Anubis é disseminado por meio de campanhas de malspam, nas quais as vítimas são induzidas a executar o código malicioso hospedado em sites SharePoint comprometidos.

Distribuído em um arquivo ZIP, o ponto de entrada da infecção é um script em Python projetado para descriptografar e executar a carga útil principal — ofuscada — diretamente na memória. Após a ativação, o backdoor se comunica com um servidor remoto por meio de um socket TCP, utilizando codificação Base64.

As respostas do servidor, também codificadas em Base64, permitem ao malware realizar diversas ações, como coletar o endereço IP do dispositivo, enviar e baixar arquivos, alterar o diretório de trabalho, acessar variáveis de ambiente, modificar o Registro do Windows, carregar bibliotecas DLL diretamente na memória com o PythonMemoryModule, e até encerrar sua própria execução.

Em uma análise independente conduzida pela empresa alemã GDATA, foi constatado que o Anubis também permite executar comandos personalizados enviados pelos operadores do ataque, diretamente no sistema da vítima.

“Essa funcionalidade permite que os hackers realizem ações como registrar teclas digitadas, capturar telas ou roubar senhas sem armazenar essas capacidades diretamente no sistema comprometido”, explicou a PRODAFT. “Ao manter o backdoor o mais leve possível, eles reduzem o risco de detecção e mantêm a flexibilidade para executar outras atividades maliciosas posteriormente.”

Via - THN