Fin7 Grupo de Hackers Utiliza Anúncios Maliciosos do Google para Distribuir o RAT NetSupport – Virus Killer – Recuperação de Site Invadido por Vírus e Malware

O grupo de ameaças financeiramente motivado conhecido como FIN7 foi observado utilizando anúncios maliciosos do Google que fingiam representar marcas legítimas como meio de distribuir instaladores MSIX que culminavam na implementação do NetSupport RAT.

Os atores da ameaça usaram sites maliciosos para se passarem por marcas conhecidas, incluindo AnyDesk, WinSCP, BlackRock, Asana, Concur, The Wall Street Journal, Workable e Google Meet, de acordo com um relatório da empresa de cibersegurança eSentire publicado esta semana.

O FIN7, também conhecido como Carbon Spider e Sangria Tempest, é um grupo de crimes eletrônicos persistentes que está ativo desde 2013, inicialmente se envolvendo em ataques direcionados a dispositivos de ponto de venda para roubar dados de pagamento, antes de migrar para invadir grandes empresas por meio de campanhas de ransomware.

Ao longo dos anos, o ator da ameaça aprimorou suas táticas e arsenal cibernético, adotando várias famílias de malware personalizadas como BIRDWATCH, Carbanak, DICELOADER (também conhecido como Lizar e Tirion), POWERPLANT, POWERTRASH e TERMITE, entre outros.

O malware FIN7 é comumente implantado por meio de campanhas de spear-phishing como uma entrada na rede ou host alvo, embora nos últimos meses o grupo tenha utilizado técnicas de malvertising para iniciar as cadeias de ataque.

Em dezembro de 2023, a Microsoft informou que observou os atacantes se baseando em anúncios do Google para atrair usuários a baixar pacotes de aplicativos MSIX maliciosos, o que acabou resultando na execução do POWERTRASH, um dropper em memória baseado em PowerShell que é usado para carregar o NetSupport RAT e o Gracewire.

“Sangria Tempest […] é um grupo de cibercriminosos com motivação financeira que atualmente se concentra em realizar intrusões que frequentemente levam ao roubo de dados, seguido por extorsão direcionada ou implementação de ransomware, como o ransomware Clop”, observou a gigante da tecnologia na época.

O abuso do MSIX como vetor de distribuição de malware por diversos atores de ameaças – provavelmente devido à sua capacidade de burlar mecanismos de segurança como o Microsoft Defender SmartScreen – levou a Microsoft a desativar o manipulador de protocolo por padrão.

Nos ataques observados pela eSentire em abril de 2024, os usuários que visitam os sites falsos via anúncios do Google são exibidos com uma mensagem pop-up instando-os a baixar uma extensão de navegador falsa, que é um arquivo MSIX contendo um script PowerShell que, por sua vez, coleta informações do sistema e entra em contato com um servidor remoto para buscar outro script PowerShell codificado.

A segunda carga útil do PowerShell é usada para baixar e executar o NetSupport RAT de um servidor controlado pelo ator.

A empresa canadense de cibersegurança também detectou o trojan de acesso remoto sendo usado para fornecer malware adicional, que inclui o DICELOADER por meio de um script Python.

“Os incidentes de FIN7 explorando nomes de marcas confiáveis e usando anúncios web enganosos para distribuir NetSupport RAT seguido por DICELOADER destacam a ameaça contínua, especialmente com o abuso de arquivos MSIX assinados por esses atores, que se mostraram eficazes em seus esquemas”, disse a eSentire.

Descobertas semelhantes foram reportadas de forma independente pela Malwarebytes, que caracterizou a atividade como focada em usuários corporativos por meio de anúncios e modals maliciosos, imitando marcas de alto perfil como Asana, BlackRock, CNN, Google Meet, SAP, e The Wall Street Journal. No entanto, a campanha não foi atribuída ao FIN7.

A notícia dos esquemas de malvertising do FIN7 coincide com uma onda de infecção do SocGholish (também conhecido como FakeUpdates) destinada a parceiros comerciais.

“Os atacantes usaram técnicas do tipo living-off-the-land para coletar credenciais sensíveis e, notavelmente, configuraram beacons da web em assinaturas de e-mail e compartilhamentos de rede para mapear relacionamentos locais e comerciais para empresas parceiras”, disse a eSentire. “Esse comportamento sugere um interesse em explorar esses relacionamentos para direcionar colegas de negócios de interesse.”

Também segue a descoberta de uma campanha de malware visando usuários do Windows e do Microsoft Office para propagar RATs e mineradores de criptomoedas por meio de rachaduras para software popular.

“O malware, uma vez instalado, muitas vezes registra comandos no agendador de tarefas para manter a persistência, permitindo a instalação contínua de novo malware mesmo após a remoção”, disse a Symantec, subsidiária da Broadcom.

Você também pode gostar

Abordagem Nativa Primeiro Proporciona Melhores Proteções e Uso Mais Eficiente de Recursos do que Soluções de Melhor Qualidade, Beneficiando Provedores de Serviços em Nuvem e Clientes Finais.

Tendências Recentes em Violações e Métodos de Ataque Oferecem um Mapa Valioso para Profissionais de Segurança CibernéticaEncarregados de Detectar e Prevenir a Próxima Grande Novidade

Não Use Ponto Final Se Precisar Substitua Ponto Final Por Hífen Todas As Palavras Com A Primeira Letra Maiúscula