O grupo de ameaças financeiramente motivado conhecido como FIN7 foi observado aproveitando anúncios maliciosos do Google, falsificando marcas legítimas como meio de entregar instaladores MSIX que culminam na implantação do NetSupport RAT.
Os atacantes usaram sites maliciosos para se passar por marcas conhecidas, incluindo AnyDesk, WinSCP, BlackRock, Asana, Concur, The Wall Street Journal, Workable e Google Meet, conforme relatório publicado recentemente.
O FIN7 (também conhecido como Carbon Spider e Sangria Tempest) é um grupo de crime eletrônico persistente que está ativo desde 2013, inicialmente atacando dispositivos de ponto de venda para roubar dados de pagamento, antes de passar a invadir grandes empresas por meio de campanhas de ransomware.
Ao longo dos anos, o grupo aprimorou suas táticas e arsenal de armas cibernéticas, adotando várias famílias de malwares personalizados, como BIRDWATCH, Carbanak, DICELOADER, POWERPLANT, POWERTRASH e TERMITE, entre outros.
O malware FIN7 é comumente implantado por meio de campanhas de spear-phishing como uma entrada para a rede ou host do alvo, embora nos últimos meses o grupo tenha utilizado técnicas de malvertising para iniciar as cadeias de ataque.
Em dezembro de 2023, a Microsoft observou os atacantes confiando em anúncios do Google para atrair usuários a baixar pacotes de aplicativos MSIX maliciosos, o que levou à execução do POWERTRASH, um dropper baseado em PowerShell na memória que é usado para carregar o NetSupport RAT e o Gracewire.
O grupo Sangria Tempest é um grupo de cibercriminosos financeiramente motivado que atualmente se concentra na realização de intrusões que muitas vezes resultam em roubo de dados, seguido de extorsão direcionada ou implantação de ransomware, como o ransomware Clop.
O abuso do MSIX como vetor de distribuição de malware por vários atacantes — provavelmente devido à sua capacidade de contornar mecanismos de segurança como o Microsoft Defender SmartScreen — desde então levou a Microsoft a desativar o manipulador de protocolo por padrão.
Nos ataques observados pela eSentire em abril de 2024, os usuários que visitam os sites falsos via anúncios do Google são exibidos com uma mensagem pop-up incentivando-os a baixar uma extensão falsa do navegador, que é um arquivo MSIX contendo um script do PowerShell que, por sua vez, coleta informações do sistema e entra em contato com um servidor remoto para buscar outro script do PowerShell codificado.
O segundo payload do PowerShell é usado para baixar e executar o NetSupport RAT de um servidor controlado pelo ator.
A empresa canadense de cibersegurança disse que também detectou o trojan de acesso remoto sendo usado para entregar malwares adicionais, que incluem o DICELOADER por meio de um script Python. Os incidentes do FIN7 explorando nomes de marcas confiáveis e usando anúncios web enganosos para distribuir NetSupport RAT seguido por DICELOADER destacam a ameaça contínua, particularmente com o abuso de arquivos MSIX assinados por esses atores, que se mostrou eficaz em seus esquemas.
Descobertas semelhantes foram relatadas independentemente pela Malwarebytes, que caracterizou a atividade como visando usuários corporativos por meio de anúncios maliciosos, imitando marcas de destaque como Asana, BlackRock, CNN, Google Meet, SAP e The Wall Street Journal. No entanto, não atribuiu a campanha ao FIN7.
A notícia dos esquemas de malvertising do FIN7 coincide com uma onda de infecção SocGholish (também conhecida como FakeUpdates) projetada para visar parceiros comerciais.
Os atacantes usaram técnicas de living-off-the-land para coletar credenciais sensíveis e, notavelmente, configuraram beacons da web em assinaturas de e-mail e compartilhamentos de rede para mapear relacionamentos locais e comerciais, planejando explorar esses relacionamentos para atingir pares comerciais de interesse.
Também segue a descoberta de uma campanha de malwares direcionada a usuários do Windows e do Microsoft Office para propagar RATs e mineradores de criptomoedas por meio de cracks para software popular.
Uma vez instalado, o malware muitas vezes registra comandos no agendador de tarefas para manter a persistência, permitindo a instalação contínua de novos malwares mesmo após a remoção.