FIN7这个金融网络犯罪团伙了,他们使用了新版本Windows为主题的Word攻击文档还附加了恶意javascript脚本。
安全人员观察到,该团伙在最近的攻击中使用了六份不同的文件,都提到了 Windows 11 Alph微软即将推出Windows 11操作系统内部预览版。
6月下旬,Windows 11 Alpha它被发布到计算机巨头的开发者渠道,因为它提供了技术人员的巨大轰动Windows11预览版。同时,官方在今年秋季才会正式推出Windows 11官方版。
FIN7攻击者希望通过电子邮件向位于加州的销售点供应商提供主题文件Clearmind以及其他目标,所有这些文件都是恶意的Visual Basic(VBA)宏。
FIN7最新的攻击布局
感染链来自微软Word从文档开始,它告诉读者它是用来的Windows 11 Alpha图片中的内容要求用户启用编辑查看更多内容。
一旦编辑被启用,它将执行一个VBA宏,从.doc在文件中的隐藏表格中获得编码值,并使用编码值XOR键解密。同时,创建脚本,检查目标的各种信息。
它首先检查目标系统的语言。如果发现是俄语、乌克兰语或其他东欧语言,脚本将终止运行。
脚本还将检查虚拟机是否存在,以确保它在沙箱环境中没有运行分析。如果发现,文件的运行将终止。然后,它将检查目标是否在销售点(PoS)服务提供商域名clearmind.com上。如果是,它将继续检查。
Clearmind域名的攻击目标非常一致FIN7操作模式。作为加州的零售和酒店业PoS如果技术供应商成功感染,集团将获得大量支付卡数据,然后在地下市场销售。
研究人员指出,如果检查结果符合攻击条件,脚本将称之为 "word_data.js "的JavaScript文件丢入TEMP一旦文件被分析并运行,它将成为文件夹FIN7的JavaScript该组织自2018年以来一直在采用该技术。从那里,FIN7它可以进一步渗透到受害者的机器中,窃取数据并进行网络侦察,然后水平移动。
FIN7攻击没有放缓的迹象
FIN7(又名Carbanak Group或Navigator Group)它是一个著名的威胁攻击组织,至少自2015年以来一直在犯罪。该团伙通常使用带有恶意软件的在线钓鱼文件来攻击受害者,然后渗透到系统中,窃取银行卡数据并出售。该团伙一直在调整新的恶意软件库,同时也针对休闲餐厅、赌场和酒店PoS攻击系统。自2020年以来,该团伙还增加了勒索软件和数据泄露攻击,并使用它ZoomInfo根据收入选择目标进行攻击。
美国司法部认为,该集团引起了美国司法部的注意FIN7盗取1500多万张支付卡记录,造成损失超过10亿美元。据司法部称,仅在美国,该组织就破坏了47个州和哥伦比亚特区的组织网络。6月,司法部以盗窃支付卡罪判处攻击者7年监禁和250万美元罚款,其他人员的逮捕和定罪也困扰着政府。
然而,严格的法律并没有阻止组织的攻击。一个月后,它又回来了,涉及杰克-丹尼尔斯威士忌酒业公司的法律投诉是诱饵,成功攻击了多家律师事务所。
FIN7是最臭名昭着的网络金融犯罪组织之一,因为他们通过众多技术和攻击面窃取了大量的敏感数据。尽管政府在全力的逮捕和判刑,包括所谓的更高级别的成员,目前该集团仍然像以前一样活跃。美国检察官认为该集团人数约为70人,这意味着该集团很可能会弥补人员上的损失,因为可能会有其他的外部人员加入。
本文翻译自:https://threatpost.com/fin7-windows-11-release/169206/如果转载,请注明原始地址。