FIN7, cuyas acciones están dirigidas a instituciones financieras a través de emails phishing, previamente dependían de un servicio malicioso para implementar la puerta trasera Carbank en los sistemas objetivo.

Recientemente, el grupo ha cambiado hacia el uso de bases de datos shim para lograr el mismo fin, de acuerdo con FireEye Mandiant .

El shim inyecta un parche de memoria malicioso en el proceso de Windows Service Control Manager (services.exe) para esencialmente instalar la puerta trasera Carbank. Como antes, el motivo es estar un paso adelante en los sistemas comprometidos antes de obtener los datos de las tarjetas.

El cambio de enfoque en el grupo de una previa dependencia en el spear-phishing a un enfoque más DevOps es un ejemplo de cómo los llamados ataques advanced persistent threat (APT) evolucionan con el tiempo.

Una aplicación compatible con shim es una pequeña biblioteca que intercepta de forma transparente una API (a través del hook), cambia los parámetros pasados, maneja operaciones programadas, o redirige la operación a otro lugar, por ejemplo, hacia código almacenado en el sistema.

Los shims son usados de forma predominante para tener compatibilidad con aplicaciones legacy. Mientas shims sirve a un propósito legitimo también pueden ser usados de forma nefasta. Las tácticas de FIN7 son poco comunes, pero no sin precedentes.

Más detalles en el cambio de FIN7 pueden ser encontrados en un blog de FireEye aquí.