Grupo Hacker FIN7 Utiliza Anúncios Maliciosos do Google para Distribuir NetSupport RAT. – Virus Killer – Recuperação de Site Invadido por Vírus e Malware

O grupo de ameaças com motivação financeira conhecido como FIN7 foi observado utilizando anúncios do Google maliciosos falsificando marcas legítimas como meio de fornecer instaladores MSIX que resultam na implantação do NetSupport RAT.

“Os atores de ameaça usaram sites maliciosos para se passar por marcas conhecidas, incluindo AnyDesk, WinSCP, BlackRock, Asana, Concur, The Wall Street Journal, Workable e Google Meet”, disse a empresa de cibersegurança eSentire em um relatório publicado recentemente.

O FIN7 (também conhecido como Carbon Spider e Sangria Tempest) é um grupo de crimes eletrônicos persistente que está ativo desde 2013, inicialmente se envolvendo em ataques direcionados a dispositivos de ponto de venda para roubar dados de pagamento, antes de mudar para invadir grandes empresas por meio de campanhas de ransomware.

Ao longo dos anos, o grupo de ameaças refinou suas táticas e arsenal cibernético, adotando várias famílias de malwares personalizados, como BIRDWATCH, Carbanak, DICELOADER (também conhecido como Lizar e Tirion), POWERPLANT, POWERTRASH e TERMITE, entre outros.

O malware do FIN7 é comumente implantado por meio de campanhas de spear-phishing como uma entrada na rede ou host do alvo, embora nos últimos meses o grupo tenha utilizado técnicas de malvertising para iniciar as cadeias de ataque.

Em dezembro de 2023, a Microsoft disse ter observado os atacantes contando com anúncios do Google para atrair usuários a fazer o download de pacotes de aplicativos MSIX maliciosos, o que acabou levando à execução do POWERTRASH, um dropper baseado em PowerShell na memória que é usado para carregar o NetSupport RAT e o Gracewire.

“Sangria Tempest […] é um grupo de cibercriminosos com motivação financeira que atualmente está focado em realizar intrusões que frequentemente resultam em roubo de dados, seguido de extorsão direcionada ou implantação de ransomware, como o ransomware Clop”, observou a gigante da tecnologia na época.

O abuso do MSIX como vetor de distribuição de malware por vários atores de ameaças – provavelmente devido à sua capacidade de contornar mecanismos de segurança como o Microsoft Defender SmartScreen – desde então levou a Microsoft a desativar o manipulador de protocolo por padrão.

Nos ataques observados pela eSentire em abril de 2024, os usuários que visitam os sites falsos por meio de anúncios do Google são exibidos com uma mensagem pop-up instando-os a fazer o download de uma extensão de navegador falsa, que é um arquivo MSIX contendo um script do PowerShell que, por sua vez, coleta informações do sistema e entra em contato com um servidor remoto para buscar outro script do PowerShell codificado.

A segunda carga útil do PowerShell é usada para fazer o download e executar o NetSupport RAT a partir de um servidor controlado pelo ator.

A empresa canadense de cibersegurança também detectou o trojan de acesso remoto sendo usado para entregar outros malwares, que incluem o DICELOADER por meio de um script Python.

“Os incidentes do FIN7 explorando nomes de marcas confiáveis e usando anúncios da web enganosos para distribuir NetSupport RAT seguidos por DICELOADER destacam a ameaça contínua, especialmente com o abuso de arquivos MSIX assinados por esses atores, que se mostraram eficazes em seus esquemas”, afirmou a eSentire.

Descobertas semelhantes foram reportadas independentemente pela Malwarebytes, que caracterizou a atividade como direcionada a usuários corporativos por meio de anúncios e modais maliciosos, imitando marcas de destaque como Asana, BlackRock, CNN, Google Meet, SAP e The Wall Street Journal. No entanto, não atribuiu a campanha ao FIN7.

As notícias dos esquemas de malvertising do FIN7 coincidem com uma onda de infecção SocGholish (também conhecida como FakeUpdates) projetada para direcionar parceiros comerciais.

“Os atacantes usaram técnicas de living-off-the-land para coletar credenciais sensíveis e, especialmente, configuraram web beacons em assinaturas de e-mail e compartilhamentos de rede para mapear relacionamentos comerciais e de negócios”, disse a eSentire. “Esse comportamento sugere um interesse em explorar esses relacionamentos para visar pares comerciais de interesse”.

Também segue a descoberta de uma campanha de malware direcionada a usuários do Windows e do Microsoft Office para propagar RATs e mineradores de criptomoedas por meio de rachaduras para software popular.

“O malware, uma vez instalado, muitas vezes registra comandos no agendador de tarefas para manter a persistência, permitindo a instalação contínua de novos malwares mesmo após a remoção”, disse a Symantec, de propriedade da Broadcom.

Encontrou este artigo interessante? Siga-nos no Twitter e LinkedIn para ler mais conteúdo exclusivo que postamos.

Você também pode gostar

Nova Vulnerabilidade de Wi-Fi Permite Acompanhamento de Rede através de Ataques de Downgrade

Dados da Change Healthcare à venda na dark web à medida que consequências do ataque de ransomware saem do controle

Mandiant Alerta Que Defensores Devem Rethink Como Impedir Grupos de Ciberespionagem Chineses Usando Redes de Caixa de Rele Operacionais Como Serviços de Infraestrutura-Como-Serviço, Dispositivos e Roteadores Inteligentes Hacked.