El actor de amenaza de motivaci\u00f3n financiera conocido como FIN7 se ha vinculado a una puerta trasera con sede en Python llamada Anubis (que no debe confundirse con un troyano de banca Android del mismo nombre) que puede otorgarles acceso remoto a los sistemas de Windows comprometidos.<\/p>\n
“Este malware permite a los atacantes ejecutar comandos de shell remotos y otras operaciones del sistema, d\u00e1ndoles un control total sobre una m\u00e1quina infectada”, la compa\u00f1\u00eda de seguridad cibern\u00e9tica suiza ProductAft dicho<\/a> En un informe t\u00e9cnico del malware.<\/p>\n Fin7, tambi\u00e9n llamado Carbon Spider, Elbrus, Gold Niagara, Sangria Tempest y Savage Ladybug, es un grupo de delito cibern\u00e9tico ruso conocido por su en constante evoluci\u00f3n<\/a> y en expansi\u00f3n<\/a> Conjunto de familias de malware para obtener acceso inicial y exfiltraci\u00f3n de datos. En los \u00faltimos a\u00f1os, se dice que el actor de amenazas hizo la transici\u00f3n a un afiliado de ransomware.<\/p>\n En julio de 2024, se observ\u00f3 el grupo utilizando varios alias en l\u00ednea para anunciar una herramienta llamada Aukill (tambi\u00e9n conocida como Avneutralizer) que es capaz de terminar las herramientas de seguridad en un probable intento de diversificar su estrategia de monetizaci\u00f3n.<\/p>\n Se cree que Anubis se propaga a trav\u00e9s de campa\u00f1as de Malspam que generalmente atraen a las v\u00edctimas a ejecutar la carga \u00fatil alojada en sitios de SharePoint comprometidos.<\/p>\n Entregado en forma de un archivo ZIP, el punto de entrada de la infecci\u00f3n es un script de Python dise\u00f1ado para descifrar y ejecutar la carga \u00fatil principal ofuscada directamente en la memoria. Una vez lanzado, la puerta trasera establece comunicaciones con un servidor remoto a trav\u00e9s de un socket TCP en formato codificado Base64.<\/p>\n Las respuestas del servidor, tambi\u00e9n codificadas en Base64, le permiten recopilar la direcci\u00f3n IP del host, cargar\/descargar archivos, cambiar el directorio de trabajo actual, obtener variables de entorno, alterar el registro de Windows, cargar archivos DLL en memoria utilizando pythonmemorymodule y terminarse.<\/p>\n En un an\u00e1lisis independiente de ANUBIS, la compa\u00f1\u00eda de seguridad alemana GDATA dicho<\/a> La puerta trasera tambi\u00e9n admite la capacidad de ejecutar respuestas proporcionadas por el operador como un comando shell en el sistema de v\u00edctimas.<\/p>\n “Esto permite a los atacantes realizar acciones como el keylogging, tomar capturas de pantalla o robar contrase\u00f1as sin almacenar directamente estas capacidades en el sistema infectado”, dijo ProDaft. “Al mantener la puerta trasera lo m\u00e1s liviana posible, reducen el riesgo de detecci\u00f3n mientras mantienen flexibilidad para ejecutar nuevas actividades maliciosas”.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/04\/Fin7-implementa-la-puerta-trasera-de-Anubis-para-secuestrar-sistemas.jpg\")
<\/a><\/center><\/div>\n<\/a><\/center><\/div>\n