Hackeři z FIN7 používají podepsaný malware a falešné reklamy Google

Výzkumníci z oddělení Threat Response Unit  společnosti eSentire odhalili znepokojivý trend v útocích skupiny FIN7. Kampaň skupiny FIN7 se zaměřuje na uživatele pomocí škodlivých webových stránek maskovaných jako legitimní značky, které šíří NetSupport RAT a výkonný malware DiceLoader.

V sérii incidentů zaznamenaných v dubnu 2024 vytvořila skupina FIN7 škodlivé webové stránky, které se přesvědčivě vydávaly za renomované společnosti, jako jsou AnyDesk, WinSCP, BlackRock, Asana, Concur, The Wall Street Journal, Workable a Google Meet.  

Návštěvníci těchto stránek se setkávali s vyskakovacími oznámeními, která je vyzývala ke stažení zdánlivě neškodných rozšíření prohlížeče. Tato vyskakovací okna však byla zástěrkou pro iniciaci stahování souborů MSIX, což je formát balíčků používaný aplikacemi pro systém Windows, které se tvářily jako legitimní, ale obsahovaly škodlivý payload.

Při návštěvě škodlivých stránek prostřednictvím sponzorovaných reklam Google uživatelé nevědomky spustili stahování těchto souborů MSIX, které byly důmyslně vytvořeny tak, aby nasadily trojského koně NetSupport Remote Access (RAT) a následně DiceLoader

Bylo zjištěno, že soubory MSIX použité při těchto útocích jsou podepsány společnostmi "SOFTWARE SP Z O O" a "SOFTWARE BYTES LTD", což jim dodává zdání legitimity. eSentire od kontaktovala společnost GlobalSign, aby tyto certifikáty zrušila, čímž se zmírní rizika spojená s těmito soubory.