Você está visualizando atualmente Grupo de Hackers FIN7 Usa Anúncios Google Maliciosos para Distribuir RAT NetSupport

Grupo de Hackers FIN7 Usa Anúncios Google Maliciosos para Distribuir RAT NetSupport

O grupo de ameaças financeiramente motivado conhecido como FIN7 foi observado usando anúncios do Google maliciosos falsificando marcas legítimas como meio de entregar instaladores MSIX que culminam na implantação do NetSupport RAT.

“Os atores de ameaças usaram sites maliciosos para se passar por marcas conhecidas, incluindo AnyDesk, WinSCP, BlackRock, Asana, Concur, The Wall Street Journal, Workable e Google Meet”, disse a empresa de cibersegurança eSentire em um relatório publicado recentemente.

O FIN7 (também conhecido como Carbon Spider e Sangria Tempest) é um grupo de e-crime persistente que está ativo desde 2013, inicialmente se envolvendo em ataques direcionados a dispositivos de ponto de venda (PoS) para roubar dados de pagamento, antes de mudar para a violação de grandes empresas por meio de campanhas de ransomware.

Ao longo dos anos, o grupo de ameaças refinou suas táticas e arsenal de armas cibernéticas, adotando várias famílias de malwares personalizados, como BIRDWATCH, Carbanak, DICELOADER (também conhecido como Lizar e Tirion), POWERPLANT, POWERTRASH e TERMITE, entre outros.

O malware FIN7 é comumente implantado por meio de campanhas de spear-phishing como entrada na rede ou host do alvo, embora nos últimos meses o grupo tenha utilizado técnicas de malvertizing para iniciar as cadeias de ataque.

Em dezembro de 2023, a Microsoft disse ter observado os criminosos confiando em anúncios do Google para atrair usuários a baixar pacotes de aplicativos MSIX maliciosos, o que levou à execução do POWERTRASH, um dropador em memória baseado em PowerShell usado para carregar o NetSupport RAT e o Gracewire.

“Sangria Tempest […] é um grupo de cibercriminosos financeiramente motivados que atualmente estão focados em realizar intrusões que frequentemente resultam em roubo de dados, seguido por extorsão direcionada ou implantação de ransomware como o ransomware Clop”, observou a gigante da tecnologia na época.

O abuso de MSIX como vetor de distribuição de malwares por vários atores de ameaças – provavelmente devido à sua capacidade de burlar mecanismos de segurança como o Microsoft Defender SmartScreen – desde então levou a Microsoft a desativar o manipulador de protocolo por padrão.

Nos ataques observados pela eSentire em abril de 2024, os usuários que acessam os sites falsos via anúncios do Google recebem uma mensagem pop-up incentivando-os a baixar uma extensão de navegador falsa, que é um arquivo MSIX contendo um script PowerShell que, por sua vez, coleta informações do sistema e entra em contato com um servidor remoto para buscar outro script PowerShell codificado.

O segundo payload PowerShell é usado para baixar e executar o NetSupport RAT a partir de um servidor controlado pelo ator.

A empresa canadense de cibersegurança disse também ter detectado o trojan de acesso remoto sendo usado para entregar malwares adicionais, que incluem o DICELOADER por meio de um script Python.

“As ocorrências do FIN7 explorando nomes de marcas confiáveis e usando anúncios web enganosos para distribuir o NetSupport RAT seguido do DICELOADER destacam a ameaça contínua, particularmente com o abuso de arquivos MSIX assinados por esses atores, que se mostrou eficaz em seus esquemas”, disse a eSentire.

Resultados semelhantes foram relatados de forma independente pela Malwarebytes, que caracterizou a atividade como direcionada a usuários corporativos por meio de anúncios e modais maliciosos, imitando marcas de alto perfil como Asana, BlackRock, CNN, Google Meet, SAP e The Wall Street Journal. No entanto, não atribuiu a campanha ao FIN7.

A notícia dos esquemas de malvertizing do FIN7 coincide com uma onda de infecção do SocGholish (também conhecido como FakeUpdates) projetada para atingir parceiros de negócios.

“Os atacantes usaram técnicas “living-off-the-land” para coletar credenciais sensíveis, e, notavelmente, configuraram beacons web tanto em assinaturas de e-mails quanto em compartilhamentos de rede para mapear relacionamentos locais e empresariais”, disse a eSentire. “Esse comportamento sugere um interesse em explorar esses relacionamentos para mirar pares de negócios de interesse”.

Isso também segue a descoberta de uma campanha de malwares visando usuários do Windows e do Microsoft Office para propagar RATs e mineradores de criptomoedas por meio de cracks para software popular.

“O malware, uma vez instalado, muitas vezes registra comandos no agendador de tarefas para manter a persistência, permitindo a instalação contínua de novos malwares mesmo após a remoção”, disse a Symantec, uma empresa da Broadcom.

Se achou este artigo interessante, siga-nos no Twitter e LinkedIn para ler mais conteúdos exclusivos que postamos.