FIN7這個金融網(wǎng)絡(luò)犯罪團(tuán)伙又回來了，他們利用以新版本的Windows為主題的Word文檔進(jìn)行攻擊，其中還附加了惡意的javascript腳本。

安全人員觀察到該團(tuán)伙在最近的一次攻擊活動中，利用了六個不同的文件，都提到了 Windows 11 Alph這個微軟即將推出的Windows 11操作系統(tǒng)的內(nèi)部預(yù)覽版本。

6月下旬，Windows 11 Alpha被發(fā)布到了該計算機(jī)巨頭的開發(fā)者渠道中，它在技術(shù)人員中引起了很大的轟動，因?yàn)樗峁┝薟indows11預(yù)覽版。同時，官方在今年秋季才會正式推出Windows 11正式版。

FIN7的攻擊者們希望利用這一點(diǎn)，通過電子郵件將該主題的文件提供給位于加州的銷售點(diǎn)供應(yīng)商Clearmind以及其他目標(biāo)，所有的這些文件都帶有惡意的Visual Basic(VBA)宏。

FIN7的最新攻擊布局

感染鏈?zhǔn)菑囊粋€帶有誘惑性圖像的微軟Word文檔開始的，它告訴讀者它是用Windows 11 Alpha制作的，該圖片中的內(nèi)容要求用戶啟用編輯以查看更多內(nèi)容。

一旦編輯被啟用，就會執(zhí)行一個VBA宏，從.doc文件內(nèi)的一個隱藏表格中獲取編碼值，并用一個XOR鍵對其進(jìn)行解密。同時將創(chuàng)建一個腳本，對目標(biāo)進(jìn)行各種信息的檢查。

它首先檢查目標(biāo)系統(tǒng)的語言，如果發(fā)現(xiàn)是俄語、烏克蘭語或其他任何的東歐語言，腳本將終止運(yùn)行。

該腳本還會檢查是否存在虛擬機(jī)，以確保它沒有在沙盒環(huán)境中被運(yùn)行分析，如果發(fā)現(xiàn)了，將終止文件的運(yùn)行。然后，它會查看目標(biāo)是否在銷售點(diǎn)(PoS)服務(wù)提供商的域名clearmind.com上。如果是，它將繼續(xù)進(jìn)行檢查。

Clearmind域名這個攻擊目標(biāo)很符合FIN7的操作方式。作為一家位于加州的零售和酒店業(yè)PoS技術(shù)供應(yīng)商，如果感染成功了，那么該集團(tuán)將會獲得大量的支付卡數(shù)據(jù)，隨后在地下市場上出售這些信息。

研究人員指出，如果這個檢查結(jié)果符合攻擊條件，該腳本會將一個名為 "word_data.js "的JavaScript文件丟入TEMP文件夾，該文件一旦被解析運(yùn)行，它就會變成FIN7的JavaScript后門，該組織自2018年以來就一直在采用該技術(shù)。從那里，F(xiàn)IN7就可以進(jìn)一步滲透到受害者的機(jī)器中，竊取數(shù)據(jù)并進(jìn)行網(wǎng)絡(luò)偵察，然后進(jìn)行橫向移動。

FIN7的攻擊沒有放緩的跡象

FIN7(又名Carbanak Group或Navigator Group)是一個著名的威脅攻擊組織，至少從2015年開始就一直在作案。該團(tuán)伙通常會使用帶有惡意軟件的網(wǎng)絡(luò)釣魚文件攻擊受害者，然后滲透到系統(tǒng)中，竊取銀行卡數(shù)據(jù)并進(jìn)行出售。該團(tuán)伙一直在調(diào)整新的惡意軟件庫，它同時還針對休閑餐廳、賭場和酒店的PoS系統(tǒng)進(jìn)行攻擊。自2020年以來，該團(tuán)伙還增加了勒索軟件和數(shù)據(jù)泄露攻擊，利用ZoomInfo服務(wù)來根據(jù)收入情況選擇目標(biāo)進(jìn)行攻擊。

目前該集團(tuán)已經(jīng)引起了美國司法部的注意，美國司法部認(rèn)為FIN7竊取了超過1500萬條支付卡記錄，造成了超過10億美元的損失。據(jù)司法部稱，僅在美國，該組織就破壞了47個州和哥倫比亞特區(qū)的組織網(wǎng)絡(luò)，司法部在6月以盜竊支付卡的罪名判處一名攻擊者7年監(jiān)禁和250萬美元罰款，其他人員的逮捕和定罪同樣也在困擾著政府。

然而，嚴(yán)格的法律并沒有使該組織停止攻擊。一個月后，它又回來了，以涉及杰克-丹尼爾斯威士忌的酒業(yè)公司的法律投訴為誘餌，成功地攻擊了多家律師事務(wù)所。

FIN7是最臭名昭著的網(wǎng)絡(luò)金融犯罪組織之一，因?yàn)樗麄兺ㄟ^眾多技術(shù)和攻擊面竊取了大量的敏感數(shù)據(jù)。盡管政府在全力的逮捕和判刑，包括所謂的更高級別的成員，目前該集團(tuán)仍然像以前一樣活躍。美國檢察官認(rèn)為該集團(tuán)人數(shù)約為70人，這意味著該集團(tuán)很可能會彌補(bǔ)人員上的損失，因?yàn)榭赡軙衅渌耐獠咳藛T加入。

本文翻譯自：https://threatpost.com/fin7-windows-11-release/169206/如若轉(zhuǎn)載，請注明原文地址。