Lizar Backdoor

Uma operação complexa de phishing está entregando uma nova ameaça de backdoor sofisticada, chamada Lizar. Acredita-se que a campanha seja realizada pelo grupo cibercriminoso FIN7, por motivação financeira. Os hackers se apresentam como uma organização legítima que está oferecendo uma ferramenta de teste de penetração do Windows voltada para hackers moralmente conscientes. No entanto, em vez disso, as vítimas visadas são infectadas com o malware Lizar, que dá ao autor da ameaça controle sobre o computador comprometido e a capacidade de se mover lateralmente dentro da rede da organização. Os hackers do FIN7 envidaram grandes esforços para parecerem o mais legítimos possível, até contratando funcionários que são mantidos no escuro sobre o fato de que são usados para promover e entregar uma ameaça real de malware, de acordo com as descobertas da BI, a Equipe de pesquisa de ameaças cibernéticas da ZONE.

A Funcionalidade do Lizar Backdoor

A principal funcionalidade do Lizar Backdoor é a exfiltração de dados dos computadores infectados e se espalhar para outros dispositivos conectados à rede interna da vítima. O malware mostra sinais de estar em desenvolvimento ativo e ainda em teste. Mesmo nesta fase, o Lizar Backdoor é potente o suficiente para ter sido implantado em vários ataques contra alvos localizados em vários países. A maioria das vítimas era dos Estados Unidos e incluía instituições educacionais, empresas farmacêuticas, e uma organização de jogos de azar. O Lizar Backdoor também foi usado contra uma empresa de TI com sede na Alemanha e uma organização financeira do Panamá.

A Estrutura do Backdoor do Lizar

Estruturalmente, o Lizar Backdoor parece ser baseado no Carbanak RAT, a ferramenta de ameaça mais comumente implantada do FIN7. O Lizar consiste em um segmento de carregador e vários plug-ins, cada um responsável por uma tarefa diferente. Todos os componentes executados na máquina comprometida podem ser combinados em um cliente bot que transporta a comunicação do servidor remoto. A estrutura modular do malware permite que o hacker o dimensione e molde de acordo com suas necessidades particulares, pois cada plugin pode ser desenvolvido separadamente. Até agora, três tipos de bots de cliente foram observados - DLL, EXE e Scripts do PowerShell que executam uma DLL no espaço de endereço do processo do PowerShell. O servidor remoto para a ameaça foi criado usando o .NET framework e é executado em um host Linux remoto.

Os plug-ins do Lizar Backdoor podem executar uma ampla gama de ações prejudiciais, incluindo a entrega e a execução de cargas de malware adicionais, com o Mimikatz ou o Carbanak RAT. Além disso, o agente da ameaça pode acessar e exfiltrar informações, fazer capturas de tela arbitrárias, colher credenciais, coletar históricos do navegador e muito mais. Antes de qualquer dado ser entregue ao servidor remoto, ele é criptografado em uma chave de sessão entre 5 e 15 bytes de comprimento e novamente em uma chave encontrada na configuração. Se a chave especificada não corresponder à do servidor, nenhum dado será transferido.