Новости FIN7 активно эксплуатирует малвертайзинг в последних вредоносных кампаниях

NewsMaker

I'm just a script
Премиум
14,593
22
8 Ноя 2022
Стандартные средства защиты бессильны против изощрённой тактики злоумышленников.


kdmu6l1vsourc3xhp69jn4qu7w2clod8.jpg


Компания eSentire Для просмотра ссылки Войди или Зарегистрируйся о новой волне атак хакерской группы FIN7 , которая использовала маскировку под известные бренды для распространения вредоносных программ. Целью атак стали пользователи, перешедшие по фальшивым рекламам в Google на имитирующие легитимные сайты веб-страницы.

Согласно отчёту, группировка FIN7, известная также как Carbon Spider и Sangria Tempest, активная с 2013 года, первоначально атаковала торговые точки для кражи данных о платежах, а позже начала осуществлять атаки с использованием вымогательского ПО. Группа использовала ряд собственных вредоносных программ, включая BIRDWATCH и Carbanak.

В последние месяцы FIN7 начала применять технику «малвертайзинг» , что привело к распространению MSIX-установщиков через фальшивую рекламу. Эти установщики активируют скрипты PowerShell, что в конечном итоге приводит к запуску удалённого доступа и управления заражённых хостом через NetSupport RAT.

Microsoft отметила, что использование MSIX как канала распространения вредоносного ПО облегчает обход защитных механизмов, таких как Microsoft Defender SmartScreen, что подтолкнуло компанию к Для просмотра ссылки Войди или Зарегистрируйся по умолчанию.

В апреле 2024 года, по данным eSentire, жертвам на поддельных сайтах предлагалось скачать фиктивное расширение браузера, что является ещё одним способом сбора информации о системе и последующей загрузки вредоносного ПО.

Эксперты eSentire также обнаружили использование этого трояна для дальнейшей инсталляции других вредоносов, включая DICELOADER. Эти находки Для просмотра ссылки Войди или Зарегистрируйся отчётами Malwarebytes , которые утверждают, что целью атак являются корпоративные пользователи, обманутые маскировкой под высокопрофильные бренды.

Параллельно с новостями о малвертайзинговой кампании FIN7, Для просмотра ссылки Войди или Зарегистрируйся направленная на пользователей Windows и Microsoft Office с целью распространения RAT и майнеров криптовалют через кряки популярных программ.

Компания Symantec сообщает, что установленное таким образом вредоносное ПО регистрирует команды в планировщике задач, что позволяет поддерживать его активность даже после удаления. Это создаёт дополнительные риски для корпоративной безопасности.
 
Источник новости
www.securitylab.ru

Похожие темы