Nueva actividad del grupo FIN7 utilizando JSSLoader
- Publicado: 03/01/2021
- Importancia: Alta
- Recursos afectados
En diciembre de 2020 FIN7 realizó sus campañas para distribuir una herramienta denominada JSSLoader, considerado un troyano de acceso remoto (RAT) con múltiples capacidades ejecutadas para la captura y exfiltración de información confidencial. El vector de ataque utilizado por este grupo fue el envío de mensajes de correo electrónico con temáticas que logran captar la atención de usuarios y que contienen enlaces para descargar archivos maliciosos desde un repositorio de SharePoint privado.
Los archivos descargados eran ejecutables de Visual Basic Script (VBS) que descargan un módulo de JSSLoader, que se almacena en el directorio % temp% y lo ejecuta a través de una tarea programada creada en el equipo. También se estableció que el proveedor de alojamiento del servidor comando y control C2 es una empresa llamada FranTech Solutions, que ha sido utilizada anteriormente por este grupo cibercriminal.
Además, se observó que este RAT utiliza un script de PowerShell llamado DiceLoader para descargar Cobalt Strike, una herramienta utilizada por ciberdelincuentes para explotar las vulnerabilidades de un sistema, con el fin de lograr acceder a una red objetivo.
Este es un breve resumen realizado por el equipo del Csirt Financiero, para conocer el análisis, correlación, estrategias de mitigación y seguimiento a la alerta, afíliese al Csirt Financiero Asobancaria y contáctenos [email protected].
- Etiquetas