Anomali FIN7 Windows 11 бэкдор фишинг
Несмотря на арест ключевых участников, группировка по-прежнему остается активной.
Специалисты компании Anomali сообщили о волне целевых фишинговых атак, использующих вредоносный документ Microsoft Word, эксплуатирующий тему новой ОС Windows 11. Документ служит для распространения jаvascript-бэкдора для сбора информации с зараженных устройств.
Атаки, направленные на неназванного американского провайдера PoS-сервисов, имели место в июне-июле нынешнего года. Вредоносная кампания предположительно является делом рук известной киберпреступной группировки FIN7, которая несмотря на арест главарей по-прежнему остается активной.
Группировка осуществляет атаки по меньшей мере с середины 2025 года и в основном атакует организации в сфере ресторанного бизнеса, игровой индустрии и сферы гостеприимства.
В недавней кампании злоумышленники использовали вредоносный документ Word, содержащий изображение, якобы сделанное на устройстве под управлением Windows 11 Alpha. Изображение побуждает пользователя активировать макрос для инициирования второго этапа атаки, предусматривающего выполнение обфусцированного VBA-макроса для загрузки полезной нагрузки jаvascript, которая, в свою очередь, загружает бэкдор.
Скрипт проверяет среду, в которой находится, и, если это виртуальная машина, например, VirtualBox или VMWare, он самоудаляется. Вредонос также прекращает атаку на машинах, с установленным русским, украинским или рядом других восточноевропейских языков.
SECURITYLAB.RU
