FIN7 utiliza backdoor SSH no Windows para acesso remoto furtivo

BR Defense Center (By River de Morais e Silva)
malware

O grupo de ameaças FIN7, também conhecido como Savage Ladybug, continua a utilizar um backdoor baseado em SSH específico para Windows, que foi identificado pela primeira vez em 2022. Recentemente, a Prodaft revelou que a campanha mais recente do grupo faz uso de um conjunto de ferramentas OpenSSH personalizadas e um script de instalação chamado install.bat, que estabelece canais de acesso remoto criptografados e facilita a exfiltração de dados.

O malware transforma sistemas Windows em clientes SSH, permitindo a criação de túneis reversos para servidores controlados pelos atacantes, contornando restrições de firewall. Após a ativação, o malware possibilita sessões SFTP seguras para transferências de dados discretas e controle contínuo pelos operadores. A aparência modular e legítima dos componentes OpenSSH torna a detecção difícil, pois imita utilitários administrativos inofensivos.

A análise técnica da Prodaft identificou vários endereços IP ativos relacionados à atividade do grupo, além de um conjunto de arquivos e hashes associados ao instalador. A continuidade do uso desse backdoor baseado em SSH demonstra a confiança do FIN7 em suas capacidades de furtividade e persistência, utilizando componentes de código aberto legítimos para evitar a detecção convencional.

Fonte: https://cyberpress.org/fin7-windows-ssh-backdoor/

⚠️
BR DEFENSE CENTER: SECURITY BRIEFING
05/11/2025 • Risco: ALTO
MALWARE

FIN7 utiliza backdoor SSH no Windows para acesso remoto furtivo

RESUMO EXECUTIVO
O uso de um backdoor SSH por FIN7 representa uma ameaça significativa para empresas que operam com sistemas Windows. A técnica de criar túneis reversos para contornar firewalls e a utilização de componentes legítimos dificultam a detecção, aumentando o risco de exfiltração de dados e comprometimento de sistemas.

💼 IMPACTO DE NEGÓCIO

Financeiro
Possíveis perdas financeiras significativas devido à exfiltração de dados e interrupção de operações.
Operacional
Possibilidade de controle total sobre sistemas infectados e exfiltração de dados sensíveis.
Setores vulneráveis
['Setores de tecnologia, finanças e qualquer empresa que utilize Windows.']

📊 INDICADORES CHAVE

Múltiplos endereços IP ativos identificados. Indicador
Uso de um script de instalação chamado install.bat. Contexto BR
Vários hashes de arquivos associados ao backdoor. Urgência

⚡ AÇÕES IMEDIATAS

1 Verificar logs de acesso e conexões SSH em sistemas Windows.
2 Implementar regras de firewall para bloquear os IPs identificados e monitorar atividades suspeitas.
3 Monitorar continuamente o tráfego de rede para detectar conexões não autorizadas.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a persistência e furtividade desse tipo de ataque, que pode comprometer a segurança de dados críticos.

⚖️ COMPLIANCE

Implicações para a LGPD, especialmente em relação à proteção de dados pessoais.
Status
ativo
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).