Los miembros de la extinta banda de ransomware Conti han utilizado una nueva cepa de malware desarrollada por actores de amenazas probablemente afiliados al grupo de ciberdelincuentes FIN7, lo que indica la colaboración entre ambas bandas.
El malware, apodado Domino, está diseñado principalmente para facilitar la explotación de seguimiento en sistemas comprometidos, incluida la entrega de un ladrón de información menos conocido que se ha anunciado a la venta en la dark web desde diciembre de 2021.
FIN7, también llamado Carbanak e ITG14, es un prolífico sindicato de ciberdelincuentes de habla rusa conocido por emplear una serie de programas maliciosos personalizados para desplegar programas maliciosos adicionales y ampliar sus métodos de monetización.
Análisis recientes realizados por Mandiant, SentinelOne y PRODAFT, propiedad de Google, han revelado el papel del grupo como precursor de los ataques de ransomware Maze y Ryuk, por no mencionar sus conexiones con las familias Black Basta, DarkSide, REvil y LockBit.
La última oleada de intrusiones, detectada por IBM Security X-Force hace dos meses, implica el uso de Dave Loader, un crypter anteriormente atribuido al grupo Conti (también conocido como Gold Blackburn, ITG23 o Wizard Spider), para desplegar la puerta trasera de Domino.
Las posibles conexiones de Domino con FIN7 provienen de solapamientos del código fuente con DICELOADER (también conocido como Lizar o Tirion), una familia de malware de eficacia probada atribuida al grupo. El malware, por su parte, está diseñado para recopilar información básica sensible y recuperar cargas útiles cifradas de un servidor remoto.
Este artefacto de la siguiente etapa es un segundo cargador con el nombre en clave Domino Loader, que alberga un ladrón de información .NET cifrado conocido como Project Nemesis, capaz de acumular datos confidenciales del portapapeles, Discord, navegadores web, monederos de criptomonedas, servicios VPN y otras aplicaciones.
“Domino ha estado activo en la naturaleza desde al menos octubre de 2022, que es notablemente cuando las observaciones de Lizar comenzaron a disminuir”, señaló Hammond, lo que indica que los actores de amenazas pueden estar eliminando este último.
Otro vínculo crucial entre Domino y FIN7 data de diciembre de 2022 y utiliza otro cargador llamado NewWorldOrder Loader para distribuir las puertas traseras Domino y Carbanak.