Следите за приложением Windows 11 Alpha для новой кампании по борьбе с вредоносными программами

30
Обновленное приложение Photos для Windows 11 начинает развертывание для инсайдеров

Опираясь на простой рецепт, который неоднократно оказывался успешным, злоумышленники недавно развернули вредоносную кампанию, в которой использовалась тема Windows 11, чтобы побудить получателей активировать вредоносный код, размещенный в документах Microsoft Word.

Исследователи безопасности полагают, что противником кампании может быть киберпреступная группа FIN7, также известная как Carbanak and Navigator, которая специализируется на краже данных платежных карт.

Испытанный и проверенный метод

Злоумышленник воспользовался шумихой, возникшей вокруг деталей разработки Microsoft следующего выпуска операционной системы, которая началась в начале июня.

Киберпреступники добавили в документы Microsoft Word макрокод, который в конечном итоге загружает бэкдор JavaScript, который позволяет злоумышленнику доставлять любую полезную нагрузку, которую он хочет.

Исследователи из компании по кибербезопасности Anomali проанализировали шесть таких документов и заявили, что доставленный бэкдор является разновидностью полезной нагрузки, обычно используемой группой FIN7 как минимум с 2018 года.

Имена, использованные в кампании, по всей видимости, указывают на то, что эта активность могла произойти в период с конца июня до конца июля, т.е. сразу после того, как новости о Windows 11 начали появляться на более регулярной основе.

Неясно, как были доставлены вредоносные файлы, но обычно это происходит с помощью фишинговых писем. При открытии документа отображаются изображения Windows 11 с текстом, предназначенным для того, чтобы обманом заставить получателя включить содержимое макроса.

Утверждение, что документ был создан в более новой операционной системе, может заставить некоторых пользователей поверить, что существует проблема совместимости, которая препятствует доступу к контенту, и что выполнение инструкций устраняет проблему.

Если пользователь действует в соответствии с указанием, он активирует и выполняет вредоносный макрос VBA, который злоумышленник поместил в документ.

Код запутан, чтобы затруднить анализ, но есть способы очистить его от излишков и оставить только соответствующие строки.

Исследователи аномалий обнаружили, что включенный VBScript полагается на некоторые значения, закодированные внутри скрытой таблицы в документе, для выполнения языковых проверок на зараженном компьютере.

Обнаружение определенного языка (русский, украинский, молдавский, сербский, словацкий, словенский, эстонский, сербский) останавливает вредоносную активность и удаляет таблицу с закодированными значениями.

Код также ищет домен CLEARMIND, который, по словам исследователей Anomali, относится к поставщику точек продаж (PoS).

Другие проверки, которые выполняет код, включают:

  • Reg Key предпочтительный язык для русского
  • Виртуальная машина – VMWare, VirtualBox, innotek, QEMU, Oracle, Hyper и Parallels (если обнаружена виртуальная машина, скрипт уничтожается)
  • Доступная память (останавливается, если меньше 4 ГБ)
  • Проверить RootDSE через LDAP

Показания FIN7

По словам исследователей Anomali, JavaScript сильно запутан, и его очистка обнаруживает бэкдор, похожий на другие бэкдоры, связанные с киберпреступной группой FIN7.

Атрибуция является умеренной, основанной на следующих факторах:

  • Таргетинг на поставщика POS соответствует предыдущей активности FIN7
  • Использование ложных файлов doc с макросами VBA также согласуется с предыдущей деятельностью FIN7.
  • FIN7 исторически использовал бэкдоры Javascript
  • Заражение прекращается после обнаружения русского, украинского или нескольких других восточноевропейских языков.
  • Документ, защищенный паролем
  • Метка инструмента из файла Javascript “group = doc700 & rt = 0 & secret = 7Gjuyf39Tut383w & time = 120000 & uid =” соответствует образцу предыдущих кампаний FIN7.

FIN7 существует по крайней мере с 2013 года, но стал известен в более широких масштабах с 2015 года. Некоторые из его членов были арестованы и осуждены, но атаки и вредоносное ПО продолжали приписываться группе даже после 2018 года, когда несколько ее членов были арестованы.

Злоумышленники сконцентрировались на краже данных платежных карт клиентов различных предприятий. Их деятельность в США вызвала убытки на сумму более 1 миллиарда долларов из-за кражи более 20 миллионов карт, обработанных более чем 6500 кассовыми терминалами примерно в 3600 различных офисах.

Среди компаний, попавших в рейтинг FIN7, – Chipotle Mexican Grill, Chili’s, Arby’s, Red Robin и Jason’s Deli.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here