FIN7 активно эксплуатирует рекламу в последних вредоносных кампаниях

Компания eSentire сообщила о новой волне атак хакерской группы FIN7, которая использовала маскировку под известные бренды для распространения вредоносных программ. Целью атак стали пользователи, перешедшие по фальшивым рекламам в Google на имитирующие легитимные сайты веб-страницы, пишет Securitylab.

Согласно отчёту, группировка FIN7, известная также как Carbon Spider и Sangria Tempest, активная с 2013 года, первоначально атаковала торговые точки для кражи данных о платежах, а позже начала осуществлять атаки с использованием вымогательского ПО. Группа использовала ряд собственных вредоносных программ, включая BIRDWATCH и Carbanak.

В последние месяцы FIN7 начала применять технику «малвертайзинг», что привело к распространению MSIX-установщиков через фальшивую рекламу. Эти установщики активируют скрипты PowerShell, что в конечном итоге приводит к запуску удалённого доступа и управления заражённых хостом через NetSupport RAT.

Microsoft отметила, что использование MSIX как канала распространения вредоносного ПО облегчает обход защитных механизмов, таких как Microsoft Defender SmartScreen, что подтолкнуло компанию к деактивации этого протокольного обработчика по умолчанию.

В апреле 2024 года, по данным eSentire, жертвам на поддельных сайтах предлагалось скачать фиктивное расширение браузера, что является ещё одним способом сбора информации о системе и последующей загрузки вредоносного ПО.

Эксперты eSentire также обнаружили использование этого трояна для дальнейшей инсталляции других вредоносов, включая DICELOADER. Эти находки подтверждаются отчётами Malwarebytes, которые утверждают, что целью атак являются корпоративные пользователи, обманутые маскировкой под высокопрофильные бренды.