FIN7, un peligroso y ampliamente documentado grupo de hacking malicioso, está empleando un backdoor identificado como Lizar disfrazado como una herramienta de pentesting para sistemas Windows. Acorde a los investigadores de BI.ZONE, los hackers fingen ser una organización legítima que vende una herramienta de ciberseguridad que en realidad ocultaba el backdoor.
Los hackers de FIN7, activos desde 2015, se enfocan en el compromiso de sistemas en puntos de venta en restaurantes, hoteles y casinos, entre otros lugares. Desde hace unos meses se han publicado reportes que indican que el grupo ha diversificado sus acciones, empleando robo de datos, ataques de ransomware y campañas de ingeniería social a su amplio repertorio de trucos.
La más reciente adición al arsenal de este grupo es el backdoor Lizar, que reúne múltiples capacidades de hacking como la recopilación de datos y movimiento lateral: “Lizar es una herramienta muy compleja; a pesar de que se encuentra en fase de desarrollo, algunos grupos de hackers ya están usando esa herramienta para tomar control de dispositivos infectados”, menciona el reporte de BI.ZONE.
Los expertos mencionan que Lizar es muy similar a Carbanak, ya que ambos consisten en un cargador y varios plugins que se utilizan para diferentes tareas. Juntos, se ejecutan en el dispositivo comprometido y se pueden combinar en el cliente bot de Lizar, que a su vez se comunica con un servidor remoto. Los expertos detectaron tres tipos de bots: DLL, EXE y scripts de PowerShell, que ejecutan una DLL en el espacio de direcciones del proceso de PowerShell.
Los plugins se envían desde el servidor al cargador y se ejecutan cuando se realiza una determinada acción en la aplicación cliente Lizar, según BI.ZONE. Las seis etapas del ciclo de vida de estos plugins maliciosos se describen a continuación:
- El usuario selecciona un comando en la interfaz de la aplicación cliente Lizar
- El servidor de Lizar recibe la información sobre el comando seleccionado
- El servidor encuentra un plugin en el directorio de complementos y luego lo envía al cargador
- El cargador ejecuta el plugin y almacena el resultado de la ejecución del complemento en un área de memoria especialmente asignada en el montón
- El servidor recupera los resultados de la ejecución del complemento y los envía al cliente
- La aplicación cliente muestra los resultados de la ejecución del plugin
Como se menciona al inicio, los criminales han recurrido a una técnica inusual para propagar este backdoor, haciéndose pasar por empleados de firmas de seguridad que distribuyen una herramienta desarrollada por firmas como Forcepoint o Check Point Software. Los hackers implementan ambiciosas campañas de ingeniería social mediante plataformas como Twitter o LinkedIn e incluso Discord o Telegram para contactar a administradores de sistemas e investigadores de seguridad, convenciéndolos de probar la herramienta maliciosa.
Hasta el momento se desconoce el número aproximado de incidentes de seguridad asociados a esta campaña, aunque los investigadores esperan tener mayor certeza sobre el alcance de estos ataques en las próximas semanas.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.