Fenêtres 11 fait déjà la une des journaux en matière d'exploitation des hackers. Apparemment, FIN7, un groupe de piratage bien connu, utilise Windows 11 thèmes pour tenter de tromper les destinataires dans une récente campagne de phishing ciblant un point de vente (point de vente) compagnie.
en relation: Les pirates utilisent des liens de redirection ouverts pour contourner la détection dans les opérations de phishing
Fenêtres 11 Utilisé comme leurre dans les attaques de phishing FIN7
« Anomali Threat Research a mené une analyse sur un document Microsoft Word malveillant (.doc) fichiers sur le thème de Windows 11 Alpha et évaluer avec une confiance modérée que ces documents Word faisaient partie d'une campagne menée par le groupe de menaces FIN7 », selon un rapport sur les menaces récemment publié.
Dans ladite attaque, les acteurs de la menace exploitaient le battage médiatique entourant la prochaine édition de Windows de Microsoft. Les victimes ont été ciblées à l'aide d'un Windows 11 thème contenant des documents Word malveillants.
Selon Le rapport d'Anomali, la chaîne d'infection a été initiée par un document Microsoft Word (.doc) qui contenait une image de décor prétendant avoir été réalisée à l'aide de Windows 11 Alpha. L'image demanderait à la victime potentielle d'activer l'édition et de permettre au contenu de continuer avec la prochaine étape de l'activité. Après analyse du dossier, les chercheurs ont découvert une macro VBA remplie de données indésirables en tant que commentaires. En fait, les données indésirables sont couramment utilisées pour entraver l'analyse. Une fois ces données supprimées, une macro VBA a été révélée.
Le but de la chaîne d'attaque est de déposer une porte dérobée JavaScript sur le système compromis. Voici ce que les chercheurs ont compilé comme les éléments les plus cruciaux de l'attaque:
- Le ciblage d'un fournisseur de point de vente s'aligne sur l'activité FIN7 précédente;
- L'utilisation de fichiers doc leurres avec des macros VBA s'aligne également sur l'activité FIN7 précédente;
- FIN7 a historiquement utilisé des portes dérobées Javascript;
- L'infection s'arrête après la détection du russe, ukrainien, ou plusieurs autres langues d'Europe de l'Est;
- Document protégé par mot de passe;
- Marque d'outil du fichier Javascript “groupe=doc700&rt=0&secret=7Gjuyf39Tut383w&heure=120000&uid =” suit un modèle similaire aux campagnes FIN7 précédentes.
En savoir plus sur le groupe FIN7 Cybercriminalité
FIN7, également connu sous le nom de Carbon Spider, Anunak, et Carbanak est un groupe menaçant d'Europe de l'Est qui existe depuis au moins 2015. Le groupe s'intéresse principalement aux sociétés basées aux États-Unis dans divers secteurs. Cependant, le groupe opère à l'échelle mondiale, Anomali noté.
Peu dit, FIN7 est considérée comme l'une des organisations cybercriminelles les plus dangereuses au monde, crédité du vol de plus de 15 millions d'enregistrements de cartes de paiement qui ont coûté aux organisations un milliard de dollars de pertes.
« Aux États-Unis seulement, le groupe a ciblé plus de 100 entreprises et compromis les réseaux d'organisations 47 États et le District de Columbia. Alors que l'objectif principal de FIN7 est de voler directement des informations financières, telles que les données de carte de crédit et de débit, ils voleront également des informations sensibles pour les vendre sur des marchés clandestins," le rapport a révélé.
Les forces de l'ordre du monde entier tentent de capturer le groupe, dont l'arrestation de trois membres en août 2018. Cependant, malgré ces efforts et l'attention des médias, le groupe continue d'opérer.
Les entreprises précédemment touchées par l'organisation criminelle comprennent des marques telles que Forbes Energy Services et Gyrodata. Les chercheurs en sécurité pensent que la récente attaque de Le ransomware DarkSide contre Colonial Pipeline a été orchestré par FIN7, ainsi que le ransomware lui-même. Il convient de noter que le responsable de haut niveau et l'administrateur système de l'organisation ont récemment été condamnés à 10 ans de prison aux États-Unis.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: