FIN7金融网络犯罪团伙卷土重来,使用以新版Windows为主题的Word文档进行攻击,并附加恶意javascript脚本。安全研究人员观察到该组织在最近的一次活动中利用了六个不同的文件,所有文件都涉及Windows11Alpha,这是微软即将推出的Windows11操作系统的内部预览版。Windows11Alpha于6月下旬发布到计算机巨头的开发者频道,并在技术人员中引起了不小的轰动,因为它提供了Windows11预览版。同时,Windows11正式版要到今年秋季才会正式推出。FIN7攻击者希望通过将对象的文件通过电子邮件发送给总部位于加利福尼亚的销售点供应商Clearmind等目标来利用这一点,所有这些目标都包含恶意的VisualBasic(VBA)宏。FIN7最新的攻击布局感染链始于一份MicrosoftWord文档,该文档带有一张诱人的图片,告诉读者它是用Windows11Alpha制作的,图片中的内容要求用户启用编辑以查看更多内容。启用编辑后,将执行VBA宏以从.doc文件内的隐藏表中获取编码值,并使用XOR密钥对其进行解密。同时会创建一个脚本来查看目标的各种信息。它首先检查目标系统的语言,如果发现俄语、乌克兰语或任何其他东欧语言,脚本将终止。该脚本还检查是否存在虚拟机,以确保它没有在沙盒环境中运行,如果找到,将终止该文件。然后它会检查目标是否在销售点(PoS)服务提供商的域clearmind.com上。如果是,则继续检查。Clearmind域名的攻击目标与FIN7的操作方式非常吻合。如果感染成功,该组织是一家位于加利福尼亚州的零售和酒店业股权证明技术提供商,他们将获得大量支付卡数据,然后在地下市场上出售这些数据。研究人员指出,如果检查结果符合攻击条件,脚本就会将名为“word_data.js”的JavaScript文件放入TEMP文件夹中。该文件一旦被解析运行,就会成为FIN7的JavaScript后门。自2018年以来,该组织一直在使用该技术。从那里,FIN7可以进一步渗透受害者的机器,窃取数据并在横向移动之前进行网络侦察。FIN7攻击丝毫没有放缓的迹象FIN7(又名CarbanakGroup或NavigatorGroup)是一个众所周知的威胁组织,至少从2015年就存在了。该团伙通常使用加载了恶意软件的网络钓鱼文件攻击受害者,然后渗透系统、窃取银行卡数据并出售。该团伙一直在调整一个新的恶意软件库,它还针对休闲餐厅、赌场和酒店的PoS系统。2020年以来,该团伙还增加了勒索软件和数据泄露攻击,利用ZoomInfo服务根据收入选择目标。该组织现已引起美国司法部的注意,认为FIN7窃取了超过1500万条支付卡记录,并造成了超过10亿美元的损失。据美国司法部称,仅在美国,该组织就破坏了47个州和哥伦比亚特区的组织网络,司法部在6月判处一名攻击者七年监禁和250万美元的罚款,罪名是盗窃支付卡,其他人被捕和人们的信念也困扰着政府。然而,严格的法律并没有阻止该组织的攻击。一个月后它卷土重来,利用涉及杰克丹尼威士忌的酒类公司的法律投诉作为诱饵,成功地攻击了多家律师事务所。FIN7是最臭名昭著的网络金融犯罪集团之一,因为他们通过多种技术和攻击面窃取了大量敏感数据。尽管政府竭尽全力逮捕和判刑成员,包括所谓的高级成员,该组织仍然一如既往地活跃。美国检察官认为该组织的人数约为70人,这意味着该组织可能会随着更多的外部人员加入而弥补人员流失。本文翻译自:https://threatpost.com/fin7-windows-11-release/169206/如有转载请注明出处。
