Se observó que FIN7 usaba temas de Windows 11 para atraer a los destinatarios en una reciente campaña de phishing dirigida a un proveedor de PoS.
¿Qué se encontró?
- Los usuarios de todo el mundo están entusiasmados y curiosos sobre el próximo lanzamiento del sistema operativo de Microsoft. El grupo de delitos informáticos FIN7 se ha subido rápidamente al tren para aprovechar esta oportunidad.
- Los atacantes tenían como objetivo a las víctimas utilizando un tema de Win11 que contiene documentos de Word maliciosos.
- El maldoc tiene texto / imagen de Windows 11 que engaña al usuario para que habilite la macro que descarga una puerta trasera de JavaScript.
- Los investigadores han examinado alrededor de seis documentos de este tipo y han afirmado que la puerta trasera caída es una variante de una carga útil empleada a menudo por el grupo FIN7 desde 2018.
- Los nombres usados en la campaña insinúan que la actividad podría haber ocurrido entre junio y julio. Esto es más o menos al mismo tiempo que las noticias relacionadas con Windows 11 comenzaron a aparecer en los portales.
Sin embargo, no se sabe cómo se envían los archivos maliciosos, aunque la conjetura más cercana es a través de correos electrónicos.
La cadena de ataque
El documento afirma haber sido creado con un nuevo sistema operativo y engaña a algunos usuarios de que existe un problema de compatibilidad. Impide que los usuarios accedan al contenido y, supuestamente, el problema se puede resolver siguiendo las instrucciones que se incluyen en el mismo.
- Las instrucciones llevan a las víctimas a activar y ejecutar el VBA malicioso incrustado dentro del documento. El código está ofuscado para frustrar el análisis, aunque hay formas de limpiarlo, después de lo cual solo quedan las cadenas relacionadas.
- VBScript usa algunos valores codificados dentro de una tabla oculta (en el documento) para realizar verificaciones de idioma en la computadora de destino.
- La identificación de ciertos idiomas (serbio, ruso, moldavo, ucraniano, sorabo, esloveno, eslovaco y estonio) detiene la actividad maliciosa y elimina la tabla con valores codificados.
- Además, el código busca el dominio CLEARMIND, que parece ser una referencia a un proveedor de PoS en los EE. UU.
Además, el código también realiza otras comprobaciones, como la detección del entorno de la máquina virtual (si se identifica, el script finaliza), la preferencia de idioma de la clave de registro para el ruso, la memoria disponible y la comprobación de RootDSE a través de LDAP.
Conclusión
FIN7 está activo de nuevo y lanza nuevas rondas de ataques. Aprovechar la situación global actual o los eventos populares lo convierte en una amenaza peligrosa. Por lo tanto, los profesionales de la seguridad deben estar atentos a esta amenaza y seguir compartiendo las últimas IOC para garantizar la protección contra esta amenaza.