Ancla
Los actores de amenazas motivados financieramente continúan experimentando con nuevas familias de malware que a menudo terminan siendo utilizadas en combinación con troyanos conocidos como TrickBot. El troyano bancario TrickBot se percibe como una de las amenazas cibernéticas más activas de 2019, y se utilizó recientemente en ataques contra dispositivos de punto de venta pertenecientes a varios proveedores en todo el mundo. Lo que destaca de esta campaña reciente es que involucró el uso de una familia de malware que no se había visto anteriormente: la amenaza funciona como un troyano de puerta trasera y se basa en el protocolo DNS para comunicarse con su servidor de Comando y Control. La amenaza recibió el nombre de Ancla, y una inspección más cercana de su código fuente reveló que se había utilizado en otros ataques que ocurrieron en los últimos 12 meses.
Anchor Backdoor se basa en el protocolo DNS para recibir comandos
La puerta trasera de Anchor no es especial en términos de las características que admite ciertamente: proporciona a sus operadores las capacidades básicas para ejecutar comandos remotos, así como para buscar archivos desde una URL y ejecutarlos en el host comprometido. Sin embargo, hay una cosa sobre la puerta trasera de Anchor que la hace mejor que amenazas similares: utiliza el protocolo DNS para recuperar comandos del servidor de control. Este es uno de los motivos principales por los que la puerta trasera Anchor logró permanecer sin ser detectada durante tanto tiempo: las comunicaciones de DNS son filtradas por soluciones de firewall y productos antivirus rara vez, ya que esto a menudo puede interferir con las conexiones utilizadas por el software legítimo. Al utilizar exclusivamente el protocolo DNS, la puerta trasera Anchor puede funcionar sin generar tráfico de red ruidoso que las herramientas automatizadas detectarían fácilmente.
Uno de los posibles sospechosos detrás de la última campaña Trojan.TrickBot and Anchor es FIN6, un actor de amenazas con motivación financiera que participa regularmente en ataques contra dispositivos de punto de venta en todo el mundo.
Los actores de amenazas con motivación financiera continúan defraudando a las empresas por decenas de millones de dólares cada año. FIN6 es uno de los grupos de ciberdelincuencia más notorios, pero hay muchos otros que esperan la oportunidad de tomar el dinero de las empresas en todo el mundo; es importante proteger la red de su empresa con el uso de seguridad informática actualizada y de buena reputación. productos
