Lizar Backdoor
Una compleja operación de phishing está generando una nueva y sofisticada amenaza de puerta trasera llamada Lizar. Se cree que la campaña la lleva a cabo el grupo de ciberdelincuentes FIN7 con motivaciones financieras. Los piratas informáticos se hacen pasar por una organización legítima que ofrece una herramienta de prueba de penetración de Windows dirigida a piratas informáticos moralmente conscientes. Sin embargo, en cambio, las víctimas objetivo están infectadas con el malware Lizar que le da al actor de la amenaza control sobre la computadora comprometida y la capacidad de moverse lateralmente dentro de la red de la organización. Los piratas informáticos de FIN7 han realizado grandes esfuerzos para parecer lo más legítimos posible, incluso contratando empleados a los que se les mantiene en la oscuridad sobre el hecho de que se utilizan para promover y entregar una amenaza de malware real, según los hallazgos de BI. Equipo de Investigación de Ciberamenazas de ZONE.
La funcionalidad de la puerta trasera de Lizar
La principal funcionalidad de Lizar Backdoor es la exfiltración de datos de los equipos infectados y su propagación a otros dispositivos conectados a la red interna de la víctima. El malware muestra signos de estar en desarrollo activo y aún en pruebas. Incluso en esta etapa, Lizar Backdoor es lo suficientemente potente como para haber sido desplegado en múltiples ataques contra objetivos ubicados en varios países. La mayoría de las víctimas eran de Estados Unidos e incluían instituciones educativas, compañías farmacéuticas y una organización de juegos de azar. Lizar Backdoor también se ha aprovechado de una empresa de TI con sede en Alemania y una organización financiera de Panamá.
La estructura de la puerta trasera de Lizar
Estructuralmente, Lizar Backdoor parece estar basado en Carbanak RAT, la herramienta amenazante más comúnmente implementada por FIN7. Lizar consta de un segmento de cargador y numerosos complementos, cada uno responsable de una tarea diferente. Todos los componentes que se ejecutan en la máquina comprometida se pueden combinar en un cliente bot que lleva la comunicación del servidor remoto. La estructura modular del malware permite al pirata informático escalarlo y moldearlo de acuerdo con sus necesidades particulares, ya que cada complemento se puede desarrollar por separado. Hasta ahora, se han observado tres tipos de bots cliente: DLL, EXE y PowerShell Scripts que ejecutan una DLL en el espacio de direcciones del proceso de PowerShell. El servidor remoto para la amenaza se creó utilizando el marco .NET y se ejecuta en un host Linux remoto.
Los complementos de Lizar Backdoor pueden realizar una amplia gama de acciones dañinas, incluida la entrega y ejecución de cargas útiles de malware adicionales como Mimikatz o Carbanak RAT. Además, el actor de amenazas puede acceder y filtrar información, tomar capturas de pantalla arbitrarias, recolectar credenciales, recopilar historiales del navegador y más. Antes de que los datos se envíen al servidor remoto, se cifran en una clave de sesión de entre 5 y 15 bytes de longitud y luego nuevamente en una clave que se encuentra en la configuración. Si la clave especificada no coincide con la del servidor, no se transferirán datos.
