FIN7这个金融网络犯罪团伙又回来了,他们利用以新版本的Windows为主题的Word文档进行攻击,其中还附加了恶意的javascript脚本。
安全人员观察到该团伙在最近的一次攻击活动中,利用了六个不同的文件,都提到了 Windows 11 Alph这个微软即将推出的Windows 11操作系统的内部预览版本。
6月下旬,Windows 11 Alpha被发布到了该计算机巨头的开发者渠道中,它在技术人员中引起了很大的轰动,因为它提供了Windows11预览版。同时,官方在今年秋季才会正式推出Windows 11正式版。
FIN7的攻击者们希望利用这一点,通过电子邮件将该主题的文件提供给位于加州的销售点供应商Clearmind以及其他目标,所有的这些文件都带有恶意的Visual Basic(VBA)宏。
FIN7的最新攻击布局
感染链是从一个带有诱惑性图像的微软Word文档开始的,它告诉读者它是用Windows 11 Alpha制作的,该图片中的内容要求用户启用编辑以查看更多内容。
一旦编辑被启用,就会执行一个VBA宏,从.doc文件内的一个隐藏表格中获取编码值,并用一个XOR键对其进行解密。同时将创建一个脚本,对目标进行各种信息的检查。
它首先检查目标系统的语言,如果发现是俄语、乌克兰语或其他任何的东欧语言,脚本将终止运行。
该脚本还会检查是否存在虚拟机,以确保它没有在沙盒环境中被运行分析,如果发现了,将终止文件的运行。然后,它会查看目标是否在销售点(PoS)服务提供商的域名clearmind.com上。如果是,它将继续进行检查。
Clearmind域名这个攻击目标很符合FIN7的操作方式。作为一家位于加州的零售和酒店业PoS技术供应商,如果感染成功了,那么该集团将会获得大量的支付卡数据,随后在地下市场上出售这些信息。
研究人员指出,如果这个检查结果符合攻击条件,该脚本会将一个名为 "word_data.js "的JavaScript文件丢入TEMP文件夹,该文件一旦被解析运行,它就会变成FIN7的JavaScript后门,该组织自2018年以来就一直在采用该技术。从那里,FIN7就可以进一步渗透到受害者的机器中,窃取数据并进行网络侦察,然后进行横向移动。
FIN7的攻击没有放缓的迹象
FIN7(又名Carbanak Group或Navigator Group)是一个著名的威胁攻击组织,至少从2015年开始就一直在作案。该团伙通常会使用带有恶意软件的网络钓鱼文件攻击受害者,然后渗透到系统中,窃取银行卡数据并进行出售。该团伙一直在调整新的恶意软件库,它同时还针对休闲餐厅、赌场和酒店的PoS系统进行攻击。自2020年以来,该团伙还增加了勒索软件和数据泄露攻击,利用ZoomInfo服务来根据收入情况选择目标进行攻击。
目前该集团已经引起了美国司法部的注意,美国司法部认为FIN7窃取了超过1500万条支付卡记录,造成了超过10亿美元的损失。据司法部称,仅在美国,该组织就破坏了47个州和哥伦比亚特区的组织网络,司法部在6月以盗窃支付卡的罪名判处一名攻击者7年监禁和250万美元罚款,其他人员的逮捕和定罪同样也在困扰着政府。
然而,严格的法律并没有使该组织停止攻击。一个月后,它又回来了,以涉及杰克-丹尼尔斯威士忌的酒业公司的法律投诉为诱饵,成功地攻击了多家律师事务所。
FIN7是最臭名昭著的网络金融犯罪组织之一,因为他们通过众多技术和攻击面窃取了大量的敏感数据。尽管政府在全力的逮捕和判刑,包括所谓的更高级别的成员,目前该集团仍然像以前一样活跃。美国检察官认为该集团人数约为70人,这意味着该集团很可能会弥补人员上的损失,因为可能会有其他的外部人员加入。
本文翻译自:https://threatpost.com/fin7-windows-11-release/169206/如若转载,请注明原文地址。