Alertas de seguridad

Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.

Campaña de FIN7 para infección a equipos con USB

  • Publicado: 02/04/2020
  • Importancia: Baja

Recursos afectados

FIN7 es un grupo cibercriminal con motivaciones económicas y objetivos financieros, en esta campaña suplanta una organización y envía a sus mejores clientes por correo postal una tarjeta de regalo para compras en línea, dentro de la lista de objetos que se pueden adquirir está un dispositivo USB previamente infectado con el backdoor Griffon.

El dispositivo USB es un Rubber Ducky que una vez conectado al equipo víctima, indica mediante un mensaje falso que el dispositivo extraíble no se ha instalado correctamente, mientras que en segundo plano ejecuta un archivo JavaScript que actúa como dropper para realizar la descarga de Griffon.

A continuación, se muestra una gráfica del método de infección que utiliza Rubber Ducky para instalar el backdoor Griffon:

Imagen I-002651.png

Este es un breve resumen por el equipo del Csirt, para conocer el análisis, correlación, estrategias de mitigación y seguimiento a la alerta, afíliese al Csirt Financiero Asobancaria y contáctenos [email protected].

Etiquetas