Problema 4364

• La investigación de Silent Push indica que los actores de amenazas FIN7 están usando un nuevo generador basado en IA para adultos, en al menos siete sitios web diferentes.
• Observamos que FIN7 usa dos versiones de honeypots de malware de IA deepnude: uno que requiere una descarga simple y el otro que tiene un sofisticado proceso de "prueba gratuita".
• Silent Push también está rastreando la campaña de publicidad maliciosa FIN7 NetSupport RAT, que continúa usando un honeypot diferente con señuelos emergentes del tipo "Se requiere extensión de navegador" que conducen al malware .MSIX. ​
• La investigación anterior de Silent Push identificó miles de dominios FIN7 utilizados en correos electrónicos de phishing selectivo, kits de phishing y campañas de malware.

Los analistas de amenazas Silent Push han observado que el grupo FIN7 (también conocido como Sangria Tempest) usa nuevas tácticas en sus ataques de malware y phishing. Descubrimos que FIN7 ha creado al menos siete sitios web que ofrecen malware a los visitantes que buscan usar un generador basado en IA para adultos. El grupo de amenazas también continúa usando honeypots de extensión de navegador, sobre los que Silent Push escribió anteriormente.

Las organizaciones pueden volverse vulnerables, ya que FIN7 atrae a empleados desprevenidos para que descarguen archivos maliciosos. Estos archivos pueden comprometer directamente las credenciales a través de ladrones de información o usarse para campañas posteriores que implementan ransomware.

FIN7 es un grupo de amenazas con motivaciones financieras y vínculos con Rusia. Se lo ha asociado con ciberataques sofisticados desde al menos 2013. El grupo apunta a un amplio espectro de industrias, desde el comercio minorista y la tecnología hasta las finanzas, los medios de comunicación, los servicios públicos y más. En 2024, FIN7 amplió su alcance para apuntar a marcas globales.

En julio de 2024, Silent Push descubrió más de 4000 dominios e IP de IOFA, el grupo más grande de dominios FIN7 jamás descubierto y una cifra que desde entonces hemos más que duplicado para nuestros clientes empresariales. Los ataques detectados por el grupo fueron campañas masivas globales de phishing y malware.

Tras la reciente publicación del blog Silent Push FIN7 (https://www.silentpush.com/blog/fin7/) con el informe TLP Amber (exclusivo para usuarios empresariales), nuestra nueva investigación revela el uso por parte del grupo de un generador de IA para adultos con múltiples trampas.

Al planificar sus ataques, FIN7 lanza una amplia red, apuntando a individuos y a una amplia gama de industrias para atraer a sus víctimas. Los analistas de amenazas Silent Push han estado siguiendo la nueva metodología de ataque de FIN7.

Nuestro uso de "trampas" en esta publicación se refiere específicamente a los campos minados técnicos que tienen cebos cuidadosamente elaborados que utilizan los actores maliciosos para atraer a sus víctimas desprevenidas, a diferencia de los señuelos tradicionales y los mecanismos de detección.

La investigación de Silent Push ha revelado que la estrategia de ataque actual de FIN7 utiliza diferentes honeypots: malware generador basado en IA para adultos y un troyano de acceso remoto (RAT) NetSupport en curso.

El malware RAT NetSupport de FIN7 se distribuye a los visitantes de honeypots específicos, principalmente sitios web promocionados a través de campañas de búsqueda de publicidad maliciosa de FIN7, como el esquema de instalación "Requiere extensión de navegador".

Fin7 ha estado lanzando ataques de publicidad maliciosa que intentan distribuir malware .MSIX. Los analistas de Silent Push detectaron campañas dirigidas a una variedad de marcas, incluidas SAP Concur, Microsoft, Thomson Reuters y la detección de acciones de FINVIZ.

FIN7 todavía tiene IP activas, y probablemente nuevos sitios web, que están impulsando la táctica de la extensión de navegador requerida. Por ejemplo, aquí hay una IP activa que aloja una página de phishing de SAP Concur: https://85.209.134[.]137

Ejemplo de IP activa de FIN7 que aloja una página de phishing de SAP Concur

Las organizaciones comprometidas con la extensión de navegador .MSIX pueden ser el objetivo de ransomware, ya que el malware busca "computadoras de grupos de trabajo".

Después de que Silent Push recuperara una muestra del malware de Fin7, en este caso relacionado con “LexisNexis.msix”, nuestro equipo de analistas examinó más de cerca sus operaciones para proporcionar el siguiente análisis:​

• Tipo: Archivo comprimido Zip​
• MD5: ff25441b7631d64afefdb818cfcceec7​
• Compresión: Deflate​
• Para hacerse pasar por un ejecutable confiable, el malware se apropió de los datos del certificado de lo que parece ser una empresa de fabricación china, “Cangzhou Chenyue Electronic Technology”
• <Identity Name=”LexisNexis” Publisher=”CN=”Cangzhou Chenyue Electronic Technology Co., Ltd.”, O=”Cangzhou Chenyue Electronic Technology Co., Ltd.”, L=Cangzhou, S=Hebei, C=CN, SERIALNUMBER=91130922MA0G8AN920, OID.1.3.6.1.4.1.311.60.2.1.1=Cangzhou, OID.1.3.6.1.4.1.311.60.2.1.2=Hebei, OID.1.3.6.1.4.1.311.60.2.1.3=CN, OID.2.5.4.15=Private Organization” Version=”4.12.98.0″ />

Ejemplo de malware FIN7 con “LexisNexis.msix“

Cadena de distribución de RAT de NetSupport​

Al analizar la cadena de ataque, vemos que el malware está claramente diseñado para atacar a las máquinas unidas al dominio y a todos los datos corporativos que ofrecen. Desde allí, el malware busca obtener privilegios elevados, incluido el movimiento lateral y el acceso a Active Directory.​

• El ataque comienza cuando el script abre el sitio web de LexisNexis, ya sea como distracción o para imitar la actividad legítima del usuario.​
• Luego, el malware verifica si la máquina es parte de un dominio o de un grupo de trabajo.​
• Si la máquina está en un grupo de trabajo, el script extrae dos archivos 7-Zip cifrados (contraseña: 1234567890) y ejecuta un RAT NetSupport ejecutable.

Ejemplo de análisis de LexisNexis sobre el troyano de acceso remoto NetSupport RAT de FIN7

El paquete extraído incluye:

• Tipo: troyano de acceso remoto​​
• Nombre: NetSupport RAT​​
• Infraestructura C2: 166.88.159[.]37​​
• Licenciatario: MGJFFRT466​

La segunda táctica de ataque de FIN7 es más sofisticada: utiliza sitios web con generadores de IA Deepnude con temática para adultos que envían malware a visitantes desprevenidos.

La investigación de Silent Push indica que el malware utilizado en esta campaña utiliza ladrones de información clásicos, que adquieren cookies, contraseñas y otros detalles para atacar potencialmente a objetivos corporativos. Determinamos que el malware de IA de FIN7 utiliza Redline Stealer y D3F@ck Loader.

FIN7 aloja varios honeypots de malware bajo la marca “aiNude[.]ai” además de:

• easynude[.]website​
• ai-nude[.]cloud​
• ai-nude[.]click​
• ai-nude[.]pro​
• nude-ai[.]pro​
• ai-nude[.]adult​
• ainude[.]site

Después de descubrir estos sitios, los investigadores de Silent Push apoyaron las escaladas para lograr que los eliminaran. Todos los sitios están actualmente fuera de línea, pero creemos que es probable que se lancen nuevos sitios que sigan patrones similares.

Nuestro equipo descubrió que los honeypots de IA Deepfake se construyen sobre “sitios web shell” utilizados por FIN7 para dominios antiguos (sitios modificados posteriormente para implementar malware o ejecutar campañas maliciosas). Estos archivos y páginas exponen el contenido original del shell:

• /ReturnPolicy.html​
• /personal-data.html​
• /membership-terms.html​
• /cookie-usage.html​
• /contentDisclaimer.html​
• /deliveryDetails.html

Ejemplo de la “Política de devolución” del sitio web easynude[.]

Ejemplo de la ai-nude[.]click “data Protection” page

Los honeypots de IA Deepfake incluyen JavaScript de Facebook Audience Network y Yandex Analytics. La investigación de Silent Push no ha descubierto ningún anuncio de Facebook, todavía.

Ejemplo de honeypot de IA Deepfake de FIN7

FIN7 ha estado creando dos versiones de los sitios web honeypot. La primera incluye un generador de IA para adultos de “descarga gratuita” y la segunda ofrece a los visitantes del sitio una “prueba gratuita”.

aiNude[.]ai Deepnude Generator click “free download” honeypot

El malware empleado en este honeypot está detrás de un flujo de usuario simple que intenta hacer que un usuario descargue la carga maliciosa inicial.

Los honeypots de deepfake de FIN7 AI redirigen a los usuarios desprevenidos que hacen clic en la oferta de “descarga gratuita” a un nuevo dominio que incluye un enlace de Dropbox u otra fuente que aloja una carga útil maliciosa. Al consultar el Silent Push Web Scanner, se han encontrado cientos de estos sitios web que dicen “El archivo está listo para descargarse…”. Si bien no hemos determinado definitivamente que todos estos sean utilizados exclusivamente por FIN7, parecen ser maliciosos y probablemente parte de flujos de usuarios similares.

El paso 1 solicita al usuario que haga clic en el enlace de “Descarga gratuita” y el paso 2 solicita que descargue desde un enlace alojado en la tienda trial-uploader[.], que se vincula a una carga útil de Dropbox.

Paso 2: El archivo está listo para descargarse

Los honeypots de IA Deepfake tienen una versión única en dominios como ai-nude[.]pro, que tiene un enlace de “Prueba gratuita” en la página de inicio.​

aiNude[.]ai Deepnude Generator haga clic en “prueba gratuita” que ofrece honeypot

Si un visitante del sitio hace clic en el botón “Prueba gratuita”, se le solicita al usuario que cargue una imagen.

Si se carga una imagen, se le solicita al usuario que cargue un mensaje que dice “La prueba está lista para descargarse” que dice: “Acceda a materiales científicos solo para uso personal”.​ Una ventana emergente correspondiente requiere que el usuario responda la pregunta: “El enlace es solo para uso personal, ¿está de acuerdo?”​

Aparece la ventana emergente “La versión de prueba está lista para descargarse”

Si el usuario acepta y hace clic en “Descargar”, se le entrega un archivo zip con una carga maliciosa. Esta otra carga maliciosa de FIN7 es un “Lumma Stealer” más clásico y utiliza una técnica de carga lateral de DLL para su ejecución.

Al hacer clic en descargar, aparece un archivo zip

Todos los honeypots deepfake de FIN7 AI contienen un enlace de pie de página para “Los mejores sitios porno”, que redirecciona a los usuarios a aipornsites[.]ai, un sitio web que promociona el dominio “ainude[.]ai”, que actualmente está inactivo, pero parece ser la misma plantilla de sitio web utilizada en los honeypots de FIN7.​

FIN7 AI deepfake honeypot footer link for “Best Porn Sites”

FIN7 AI deepfake honeypot footer redirecciona a aiNude[.]ai

Teniendo en cuenta esto, es probable que FIN7 esté usando tácticas de SEO para lograr que sus honeypots tengan una clasificación más alta en los resultados de búsqueda.

Los analistas de amenazas Silent Push descubrieron que el generador DeepNude .EXE está disponible para descargar directamente desde la página de inicio de algunos sitios de FIN7. Este malware emplea técnicas sofisticadas, incluidos varios empaquetadores, incrustación de malware en código Pascal y aprovechamiento de lanzadores basados ​​en Java para evadir la detección.

El generador Deepnude .EXE utiliza “Inno Setup” para el empaquetado inicial de la carga útil.​

InnoSetup tiene un intérprete Pascal integrado que analiza e interpreta el código Pascal para proporcionar instrucciones para el instalador. Además, el detector de empaquetadores PE-ID verifica la biblioteca integrada pero detecta erróneamente que el empaquetador es Borland Delphi.

La biblioteca integrada se verifica pero se detecta erróneamente

Algunas de las características que se utilizan en esta carga útil inicial de “Inno Setup” incluyen: ​

• Conecta con servidores remotos​
• Ofuscación de cadenas pesadas​
• Detecciones de entornos virtuales​
• Control de ejecución

Características de “Inno Setup”

Las cadenas de “Inno Setup” se codifican utilizando un algoritmo personalizado.​

Las cadenas de Inno Setup se codifican utilizando un algoritmo personalizado

Ejemplo de flujo de ejecución de cadenas de Inno Setup

Extraer todas las cadenas codificadas del código y decodificarlas utilizando Python nos da una imagen clara del flujo de ejecución.

El flujo de ejecución incluye una cadena para un perfil de SteamCommunity[.]com.

Ejemplo de flujo de ejecución

Esta función busca una subcadena con “v_10:= ‘i1il’;”. Se utiliza como marcador de posición para obtener el c2. El nombre de usuario de Steam incluye una dirección IP alojada en Hetzner “49.12.117[.]119”

El nombre de usuario de Steam incluye una dirección IP alojada en Hetzner

Al buscar en Steam perfiles que incluyan “i1il”, se descubren otros posibles C2 de esta red:

• 78.47.105[.]28 – Hetzner​
• 159.69.26[.]61 – Hetzner​

Los perfiles de Steam o C2 anteriores encontrados durante la investigación incluyen:​

• 116.203.15[.]73 – Hetzner​
• 116.203.8[.]165 – Hetzner​
• 116.202.0[.]236 – Hetzner​
• 116.202.5[.]195 – Hetzner​
• 78.47.105[.]28 – Hetzner​
• 78.46.129[.]163 – Hetzner​
• 88.198.89[.]4 – Hetzner​
• 5.75.232[.]183 – Hetzner

Ejemplo de búsqueda en Steam

La carga útil secundaria era 78.47.101[.]48/manual/225/225.zip. El archivo 225.zip consta de la máquina virtual Java y un archivo EXE, que está escrito en Launch4j.

Launch4j es una herramienta de código abierto diseñada para encapsular aplicaciones Java (archivos JAR) en ejecutables nativos de Windows (archivos EXE).

@RussianPanda9xx detectó PRIMERO 225.exe como D3F@ck Loader

Esta campaña de malware FIN7 parece haber utilizado una carga útil adicional. ​La carga útil secundaria inicial encontrada en VirusTotal fue 170.exe – 7e5d91f73e89a997a7caa6b111bbd0f9788aa707ebf6b7cbe2ad2c01dffdc15d, que era un malware ladrón de credenciales de Redline, con la siguiente configuración:​

La campaña FIN7 relacionada con D3F@ck Loader comenzó el 5 de agosto de 2024, según las fechas de carga de VirusTotal. Las aplicaciones falsificadas a las que se han dirigido incluyen: ​

• PuTTY​
• Razer Gaming​
• Fortinet VPN​
• Un truco del videojuego Fortnite​
• Zoom​
• Cannon
• Varias otras aplicaciones genéricas

El malware encontrado en uno de los sitios web del “generador de IA Deepnude” se conecta a una campaña que se ha dirigido a varias marcas. Curiosamente, un “truco de Fortnite” infectado con malware también parece ser parte de la campaña.

Ejemplo de aplicaciones falsificadas atacadas

Este otro payload de FIN7 es un “Lumma Stealer” más clásico que se ejecuta utilizando una técnica de carga lateral de DLL.​

Se descubrió que este malware utiliza dos C2:​

• pang-scrooge-carnage[.]shop​
• thesiszppdsmi[.]shop

Silent Push seguirá rastreando la actividad de FIN7 e informará nuestros hallazgos a la comunidad.

Se ha omitido parte de la información de este blog público por razones de seguridad operativa.

También hemos publicado un informe TLP Amber para usuarios empresariales que contiene enlaces a consultas, búsquedas y escaneos específicos que hemos utilizado para identificar y atravesar la infraestructura FIN7, incluidos parámetros propietarios que hemos omitido de este blog por razones de seguridad operativa.

Desde nuestra publicación inicial, los investigadores de Silent Push han visto un aumento drástico en la cantidad de IOFA, más del doble para nuestros clientes empresariales. Hemos agrupado los dominios y las IP de FIN7 en dos fuentes IOFA dedicados.

Los usuarios de Silent Push Enterprise pueden incorporar estos datos a su pila de seguridad, lo que les permite bloquear la infraestructura de FIN7 en su origen.

Los datos están disponibles para exportar en formato CSV, JSON o STIX o como un fragmento de código automatizado mediante la API de Silent Push.

Silent Push Community Edition es una plataforma gratuita de búsqueda de amenazas y defensa cibernética que incluye una variedad de búsquedas ofensivas y defensivas avanzadas, consultas de contenido web y tipos de datos enriquecidos que usamos para rastrear FIN7.