Il gruppo FIN7 sta sfruttando la recente uscita della versione alpha, del sistema della casa di Redmond, windows 11, per rubare dati di carte di credito. Il gruppo FIN7 è famoso per colpire un obiettivo per volta, di solito ristoranti e punti vendita con lo scopo di vendere dati bancari sul dark web, selezionando le sue vittime sul servizio zoominfo. Nel 2020 ha cominciato a fare uso, anche se in maniera limitata, di ransomware. 

“Anomali threat research” ha condotto un’analisi su documenti word malevoli, in grado di impiantare una backdoor tramite una macro VBA. 

I documenti in questione parlano tutti del nuovo sistema operativo e invitano, con l’immagine presente in testa all’articolo, ad abilitare la modifica per visualizzare l’intero contenuto del documento dato che è stato creato su Windows 11. Ancora lontano dal lancio di una versione stabile, windows 11, è già stato protagonista di due ondate di attacchi: quella attuale e un’altra riguardante la diffusione di ISO false, spacciate per un leak del sistema operativo, prassi comune nel mondo della pirateria informatica o più in generale il mondo del torrenting. 

Schema d’attacco  

L’infezione comincia con un documento word contente un macrovirus che esegue un codice offuscato con una XOR (chiave a disgiunzione esclusiva). La prima parte della macro serve a compiere vari controlli, fra cui il solito controllo d’appartenenza agli stati del Commonwealth of indipendent states(CIS); in particolare controlla anche la presenza della lingua lusaziana (minoranza slava tedesca), estone e sloveno, procedura tipica del gruppo di REvil che è stato collaboratore di FIN7 in passato. 

Lo script controlla se sta per essere eseguito in una macchina virtuale, per evitare di essere analizzato, l’infezione non proseguirà. 

Se tutti questi requisiti sono soddisfatti allora verrà eseguito un file chiamato “word_data.js” nella cartella temp, che se deoffuscato, si dimostrerà essere una backdoor che FIN7 sta utilizzando fin dal 2018. Da qui gli attaccanti possano compromettere più in profondità la vittima e fare lateral movement all’interno dell’infrastruttura. 

Il gruppo non accenna a rallentare 

Diversi membri del gruppo sono stati arrestati, degna di nota una sentenza esemplare a 7 anni e 2.5 milioni di dollari di multa. Dopo un mese, il gruppo è stato rimesso in piedi ed è riuscito ad iniettare un RAT (strumento per l'accesso remoto) in uno studio legale utilizzando come esca una querela avente come protagonista un noto whisky. 

Il gruppo è famoso per colpire obiettivi singoli, con sofisticati attacchi di spear phishing, facendo uso di svariate tecniche, tutte comprendenti documenti infetti. Si crede che il gruppo comprenda più di 70 persone, questo sta a significare che il gruppo può permettere di perdere qualche membro, poiché altri in breve tempo copriranno le posizioni aperte. 

Nonostante questa campagna in particolare sfrutti solo la curiosità dell’utente, verso la nuova versione di windows, il gruppo impiega per la maggior parte attacchi si spear phishing, che sono particolarmente pericolosi poiché fanno leva su una profonda conoscenza della vittima, attirandola con messaggi verosimili che la riguardano da vicino 

Questa ed altre tecniche di ingegneria sociale vengono spiegate nel nostro corso di Awareness. 

Tweet