FIN7 распространяет бэкдор под видом документов на тему Windows 11

Пн 6 Сентябрь 2021 12:32

Специалисты компании Anomali сообщили о волне целевых фишинговых атак, использующих вредоносный документ Microsoft Word, эксплуатирующий тему новой ОС Windows 11. Документ служит для распространения JavaScript-бэкдора для сбора информации с зараженных устройств.

Атаки, направленные на неназванного американского провайдера PoS-сервисов, имели место в июне-июле нынешнего года. Вредоносная кампания предположительно является делом рук известной киберпреступной группировки FIN7, которая несмотря на арест главарей по-прежнему остается активной.

Группировка осуществляет атаки по меньшей мере с середины 2025 года и в основном атакует организации в сфере ресторанного бизнеса, игровой индустрии и сферы гостеприимства.

В недавней кампании злоумышленники использовали вредоносный документ Word, содержащий изображение, якобы сделанное на устройстве под управлением Windows 11 Alpha. Изображение побуждает пользователя активировать макрос для инициирования второго этапа атаки, предусматривающего выполнение обфусцированного VBA-макроса для загрузки полезной нагрузки JavaScript, которая, в свою очередь, загружает бэкдор.

Скрипт проверяет среду, в которой находится, и, если это виртуальная машина, например, VirtualBox или VMWare, он самоудаляется. Вредонос также прекращает атаку на машинах, с установленным русским, украинским или рядом других восточноевропейских языков.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 15 лет 307 дней 13 часов 37 минут 5 секунд
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.