O grupo de hackers conhecido como FIN7, motivado financeiramente, foi observado utilizando anúncios maliciosos do Google falsificando marcas legítimas como meio de entregar instaladores MSIX que culminam na implantação do NetSupport RAT.
Os atores da ameaça usaram sites maliciosos para se passar por marcas conhecidas, incluindo AnyDesk, WinSCP, BlackRock, Asana, Concur, The Wall Street Journal, Workable e Google Meet, afirmou a empresa de cibersegurança eSentire em um relatório publicado recentemente.
O FIN7 (também conhecido como Carbon Spider e Sangria Tempest) é um grupo de crimes eletrônicos persistente que está ativo há vários anos, inicialmente atacando dispositivos de ponto de venda para roubar dados de pagamento, antes de mudar para o roubo de grandes empresas por meio de campanhas de ransomware. Ao longo dos anos, o ator da ameaça aprimorou suas táticas e arsenal cibernético, adotando várias famílias de malware personalizadas, como BIRDWATCH, Carbanak, DICELOADER (também conhecido como Lizar e Tirion), POWERPLANT, POWERTRASH e TERMITE, entre outros.
O malware FIN7 é comumente implantado por meio de campanhas de spear-phishing como uma entrada na rede ou no host de destino, embora nos últimos meses o grupo tenha utilizado técnicas de malvertising para iniciar as cadeias de ataque. Em dezembro de 2023, a Microsoft disse ter observado os atacantes confiando em anúncios do Google para atrair usuários a baixar pacotes de aplicativos MSIX maliciosos, o que levou à execução do POWERTRASH, um dropper de memória baseado em PowerShell que é usado para carregar o NetSupport RAT e o Gracewire.
“O Sangria Tempest […] é um grupo de criminosos cibernéticos motivados financeiramente que atualmente se concentra em conduzir intrusões que frequentemente resultam em roubo de dados, seguido por chantagem direcionada ou implantação de ransomware, como o ransomware Clop,” observou a gigante da tecnologia na época. O abuso de MSIX como vetor de distribuição de malware por vários atores da ameaça, provavelmente devido à sua capacidade de contornar mecanismos de segurança como o Microsoft Defender SmartScreen, desde então levou a Microsoft a desativar o manipulador de protocolo por padrão.
Nos ataques observados pela eSentire em abril de 2024, os usuários que visitam os sites falsos via anúncios do Google são exibidos com uma mensagem pop-up instando-os a baixar uma extensão de navegador falsa, que é um arquivo MSIX contendo um script PowerShell que, por sua vez, coleta informações do sistema e entra em contato com um servidor remoto para buscar outro script PowerShell codificado. O segundo payload do PowerShell é usado para baixar e executar o NetSupport RAT a partir de um servidor controlado pelo ator.
A empresa canadense de cibersegurança disse também ter detectado o trojan de acesso remoto sendo usado para entregar malware adicional, que inclui o DICELOADER por meio de um script Python. “Os incidentes do FIN7 explorando nomes de marcas confiáveis e usando anúncios web enganosos para distribuir o NetSupport RAT seguido pelo DICELOADER destacam a ameaça contínua, especialmente com o abuso de arquivos MSIX assinados por esses atores, que tem se mostrado eficaz em seus esquemas”, disse a eSentire. Resultados semelhantes foram relatados independentemente pela Malwarebytes, que caracterizou a atividade como direcionada aos usuários corporativos por meio de anúncios e modais maliciosos, imitando marcas de alto perfil como Asana, BlackRock, CNN, Google Meet, SAP e The Wall Street Journal. No entanto, não atribuiu a campanha ao FIN7.
A notícia dos esquemas de malvertising do FIN7 coincide com uma onda de infecções SocGholish (também conhecida como FakeUpdates) projetada para visar parceiros de negócios. “Os atacantes usaram técnicas de living-off-the-land para coletar credenciais sensíveis e, especialmente, configuraram beacons da web em assinaturas de e-mail e compartilhamentos de rede para mapear relacionamentos locais e comerciais”, disse a eSentire. “Esse comportamento sugeriria um interesse em explorar esses relacionamentos para direcionar os pares de negócios de interesse”. Isso também segue a descoberta de uma campanha de malware visando usuários do Windows e do Microsoft Office para propagar RATs e mineradores de criptomoedas através de rachaduras para software popular. “O malware, uma vez instalado, muitas vezes registra comandos no agendador de tarefas para manter a persistência, permitindo a instalação contínua de novos malware mesmo após a remoção,” disse a Symantec, de propriedade da Broadcom.
