O ator de ameaça com motivação financeira conhecido como FIN7 foi observado aproveitando anúncios maliciosos do Google que falsificam marcas legítimas como um meio de fornecer instaladores MSIX que culminam na implantação do NetSupport RAT.
“Os atores da ameaça usaram websites maliciosos para se passar por marcas conhecidas, incluindo AnyDesk, WinSCP, BlackRock, Asana, Concur, The Wall Road Journal, Workable e Google Meet”, disse a empresa de segurança cibernética eSentire em um relatório publicado no início desta semana.
FIN7 (também conhecido como Carbon Spider e Sangria Tempest) é um grupo persistente de crime eletrônico que está ativo desde 2013, inicialmente envolvido em ataques direcionados a dispositivos de ponto de venda (PoS) para roubar dados de pagamento, antes de passar a violar grandes empresas por meio de campanhas de ransomware. .
Ao longo dos anos, o ator da ameaça aperfeiçoou suas táticas e seu arsenal de malware, adotando diversas famílias de malware personalizadas, como BIRDWATCH, Carbanak, DICELOADER (também conhecido como Lizar e Tirion), POWERPLANT, POWERTRASH e TERMITE, entre outras.
O malware FIN7 é comumente implantado por meio de campanhas de spear-phishing como uma entrada na rede ou host alvo, embora nos últimos meses o grupo tenha utilizado técnicas de malvertising para iniciar as cadeias de ataque.
Em dezembro de 2023, a Microsoft disse ter observado os invasores contando com anúncios do Google para atrair os usuários a baixar pacotes de aplicativos MSIX maliciosos, o que levou à execução do POWERTRASH, um conta-gotas na memória baseado em PowerShell usado para carregar NetSupport RAT e Gracewire.
“Sangria Tempest (…) é um grupo cibercriminoso com motivação financeira que atualmente se concentra na realização de intrusões que muitas vezes levam ao roubo de dados, seguido de extorsão direcionada ou implantação de ransomware, como o ransomware Clop”, observou a gigante da tecnologia na época.
O abuso do MSIX como vetor de distribuição de malware por vários atores de ameaças – provavelmente devido à sua capacidade de contornar mecanismos de segurança como o Microsoft Defender SmartScreen – desde então levou a Microsoft a desabilitar o manipulador de protocolo por padrão.
Nos ataques observados pela eSentire em abril de 2024, os usuários que visitam websites falsos por meio de anúncios do Google veem uma mensagem pop-up solicitando que baixem uma extensão de navegador falsa, que é um arquivo MSIX contendo um script do PowerShell que, por sua vez, reúne informações do sistema e contata um servidor remoto para buscar outro script PowerShell codificado.
A segunda carga útil do PowerShell é usada para baixar e executar o NetSupport RAT a partir de um servidor controlado por um ator.
A empresa canadense de segurança cibernética disse que também detectou o trojan de acesso remoto sendo usado para entregar malware adicional, que inclui o DICELOADER por meio de um script Python.
“Os incidentes de FIN7 explorando marcas confiáveis e usando anúncios enganosos na net para distribuir NetSupport RAT seguido por DICELOADER destacam a ameaça contínua, particularmente com o abuso de arquivos MSIX assinados por esses atores, que se mostrou eficaz em seus esquemas”, disse eSentire.
Descobertas semelhantes foram relatadas de forma independente pela Malwarebytes, que caracterizou a atividade como destacar usuários corporativos por meio de anúncios e modais maliciosos, imitando marcas de alto perfil como Asana, BlackRock, CNN, Google Meet, SAP e The Wall Road Journal. No entanto, não atribuiu a campanha à FIN7.
As notícias dos esquemas de malvertising do FIN7 coincidem com uma onda de infecção SocGholish (também conhecida como FakeUpdates) projetada para atingir parceiros de negócios.
“Os invasores usaram técnicas de vida fora da terra para coletar credenciais confidenciais e, notavelmente, configurar net beacons em assinaturas de e-mail e compartilhamentos de rede para mapear relacionamentos locais e entre empresas”, disse eSentire. “Esse comportamento sugeriria um interesse em explorar essas relações para atingir pares de negócios de interesse”.
Também segue a descoberta de uma campanha de malware direcionada a usuários do Home windows e do Microsoft Workplace para propagar RATs e mineradores de criptomoedas por meio de cracks para softwares populares.
“O malware, uma vez instalado, geralmente registra comandos no agendador de tarefas para manter a persistência, permitindo a instalação contínua de novos malwares mesmo após a remoção”, disse a Symantec, de propriedade da Broadcom.
