Podszywali się pod znane marki
„Cyberprzestępcy wykorzystywali złośliwe strony internetowe, aby podszywać się pod znane marki, w tym AnyDesk, WinSCP, BlackRock, Asana, Concur, The Wall Street Journal, Workable i Google Meet” – stwierdziła firma eSentire zajmująca się bezpieczeństwem cybernetycznym w raporcie opublikowanym w pierwszej połowie maja 2024 roku.
FIN7 (znana również jako Carbon Spider i Sangria Tempest) to trwała grupa zajmująca się e-przestępczością, która działa od 2013 r. Organizacja początkowo zajmowała się atakami na urządzenia w punktach sprzedaży (PoS) w celu kradzieży danych płatniczych, a następnie zaczęła włamywać się do dużych firm za pomocą kampanii ransomware.
Z biegiem lat ugrupowanie zagrażające udoskonaliło swoją taktykę i arsenał broni cybernetycznej, przyjmując różne niestandardowe rodziny szkodliwego oprogramowania, takie jak między innymi BIRDWATCH, Carbanak, DICELOADER (alizar i Tirion), POWERPLANT, POWERTRASH i TERMITE.
Szkodliwe oprogramowanie FIN7 jest powszechnie wdrażane w kampaniach spear-phishingowych w celu uzyskania dostępu do docelowej sieci lub hosta, chociaż w ostatnich miesiącach grupa ta wykorzystała techniki szkodliwego oprogramowania do inicjowania łańcuchów ataków.
W grudniu 2023 r. Microsoft stwierdził, że zaobserwował, jak osoby atakujące wykorzystują reklamy Google, aby nakłonić użytkowników do pobrania złośliwych pakietów aplikacji MSIX, co ostatecznie doprowadziło do uruchomienia POWERTRASH, opartego na programie PowerShell narzędzia do umieszczania w pamięci oprogramowania służącego do ładowania NetSupport RAT i Gracewire.
„Sangria Tempest [...] to grupa cyberprzestępcza motywowana finansowo, która obecnie koncentruje się na przeprowadzaniu włamań, które często prowadzą do kradzieży danych, a następnie ukierunkowanych wymuszeń lub wdrażania oprogramowania ransomware, takiego jak ransomware Clop” – zauważył wówczas technologiczny gigant.
Nadużywanie MSIX jako wektora dystrybucji złośliwego oprogramowania przez wiele podmiotów zagrażających — prawdopodobnie ze względu na jego zdolność do omijania mechanizmów bezpieczeństwa, takich jak Microsoft Defender SmartScreen — skłoniło firmę Microsoft do domyślnego wyłączenia modułu obsługi protokołu.
Komunikat namawiający do pobrania fałszywego rozszerzenia
W atakach zaobserwowanych przez eSentire w kwietniu 2024 r. użytkownikom odwiedzającym fałszywe witryny za pośrednictwem reklam Google wyświetla się wyskakujący komunikat namawiający ich do pobrania fałszywego rozszerzenia przeglądarki, czyli pliku MSIX zawierającego skrypt PowerShell, który z kolei zbiera informacje o systemie i kontaktuje się ze zdalnym serwerem w celu pobrania kolejnego zakodowanego skryptu PowerShell. Drugi ładunek PowerShell służy do pobierania i wykonywania NetSupport RAT z serwera kontrolowanego przez aktora.
Kanadyjska firma zajmująca się cyberbezpieczeństwem stwierdziła również, że wykryła trojana zdalnego dostępu wykorzystywanego do dostarczania dodatkowego szkodliwego oprogramowania, w tym DICELOADER, za pomocą skryptu w języku Python.
„Incydenty polegające na wykorzystywaniu przez FIN7 zaufanych marek i zwodniczych reklam internetowych do dystrybucji NetSupport RAT, a następnie DICELOADER, uwydatniają ciągłe zagrożenie, szczególnie związane z nadużywaniem podpisanych plików MSIX przez te podmioty, co okazało się skuteczne w ich programach” – stwierdził eSentire.
Podobne ustalenia zostały niezależnie zgłoszone przez Malwarebytes, który scharakteryzował tę aktywność jako wyróżnianie użytkowników korporacyjnych za pomocą złośliwych reklam i modów w celu naśladowania znanych marek, takich jak Asana, BlackRock, CNN, Google Meet, SAP i The Wall Street Journal. Nie przypisał jednak kampanii FIN7.
Technika „życie poza ziemią”
Wiadomość o złośliwych programach FIN7 zbiega się z falą infekcji SocGholish (aka FakeUpdates), których celem są partnerzy biznesowi. „Napastnicy wykorzystali techniki „życia poza ziemią” do zebrania poufnych danych uwierzytelniających, a w szczególności skonfigurowali sygnalizatory WWW zarówno w podpisach wiadomości e-mail, jak i udziałach sieciowych, aby zmapować relacje lokalne i między przedsiębiorstwami” – twierdzi eSentire. „To zachowanie sugerowałoby chęć wykorzystania tych relacji do dotarcia do odpowiednich partnerów biznesowych”.
Jest to również następstwem wykrycia kampanii złośliwego oprogramowania skierowanej do użytkowników systemu Windows i pakietu Microsoft Office w celu propagowania RAT i koparek kryptowalut za pośrednictwem łamań do popularnego oprogramowania.
„Po zainstalowaniu szkodliwe oprogramowanie często rejestruje polecenia w harmonogramie zadań, aby zachować trwałość, umożliwiając ciągłą instalację nowego szkodliwego oprogramowania nawet po jego usunięciu” – powiedział Symantec, właściciel Broadcom.
