O grupo cibercriminoso FIN7, também conhecido como Carbon Spider, ELBRUS e outros nomes, está utilizando um novo backdoor chamado Anubis para obter controle remoto sobre sistemas Windows comprometidos. O malware, escrito em Python, permite a execução de comandos remotos e manipulação do sistema, garantindo acesso total ao dispositivo infectado. De acordo com a empresa de segurança suíça PRODAFT, o Anubis está sendo distribuído por meio de campanhas de malspam, nas quais vítimas são levadas a executar arquivos maliciosos hospedados em sites SharePoint comprometidos.

O ataque começa com um arquivo ZIP que contém um script Python projetado para descriptografar e executar uma carga útil ofuscada diretamente na memória. Uma vez ativo, o backdoor se comunica com um servidor remoto via TCP, usando codificação Base64 para troca de dados. Ele pode coletar o endereço IP da vítima, baixar e enviar arquivos, modificar diretórios, acessar variáveis de ambiente, alterar o Registro do Windows, carregar DLLs na memória e até se autodestruir para evitar detecção.

Além disso, uma análise independente da empresa alemã GDATA revelou que o Anubis também permite a execução de comandos enviados pelos operadores, possibilitando ações como keylogging, captura de telas e roubo de credenciais sem armazenar essas funções diretamente no sistema infectado. Essa abordagem reduz o risco de detecção, mantendo a flexibilidade para ataques mais avançados. Nos últimos anos, o FIN7 tem expandido seu arsenal de malware e migrado para o modelo de afiliado de ransomware. Em 2024, o grupo foi flagrado promovendo a ferramenta AuKill, capaz de desativar softwares de segurança, indicando sua estratégia de diversificação para monetização de ataques.