Windows 11 sta già facendo notizia in termini di sfruttamento degli hacker. Apparentemente, FIN7, un noto gruppo di hacker, ha utilizzato Windows 11 temi nel tentativo di ingannare i destinatari in una recente campagna di phishing mirata a un PoS (punto vendita) società.
Windows 11 Usato come esca negli attacchi di phishing FIN7
"Anomali Threat Research ha condotto un'analisi su un documento Microsoft Word dannoso (.doc) file a tema dopo Windows 11 Alpha e valutare con moderata fiducia che questi documenti Word facevano parte di una campagna condotta dal gruppo di minacce FIN7", secondo un rapporto sulle minacce pubblicato di recente.
Nel detto attacco, gli attori delle minacce stavano sfruttando il clamore che circondava la prossima edizione di Windows di Microsoft. Le vittime sono state prese di mira utilizzando Windows 11 tema che conteneva documenti Word dannosi.
Secondo Il rapporto di Anomali, la catena di infezione è stata avviata da un documento di Microsoft Word (.doc) che conteneva un'immagine decorativa che affermava di essere stata realizzata con l'aiuto di Windows 11 Alfa. L'immagine chiederebbe alla potenziale vittima di abilitare la modifica e consentire ai contenuti di continuare con la fase successiva dell'attività. Dopo aver analizzato il file, i ricercatori hanno scoperto una macro VBA popolata con dati spazzatura come commenti. Infatti, i dati spazzatura sono comunemente usati per impedire l'analisi. Una volta che questi dati sono stati rimossi, è stata rivelata una macro VBA.
Lo scopo della catena di attacco è rilasciare una backdoor JavaScript sul sistema compromesso. Ecco cosa hanno compilato i ricercatori come gli elementi più cruciali dell'attacco:
- Il targeting di un fornitore POS si allinea con la precedente attività FIN7;
- L'uso di file doc esca con macro VBA si allinea anche con la precedente attività FIN7;
- FIN7 ha usato storicamente backdoor Javascript;
- L'infezione si ferma dopo aver rilevato il russo, ucraino, o diverse altre lingue dell'Europa orientale;
- Documento protetto da password;
- Segno utensile da file Javascript “gruppo=doc700&rt=0&segreto=7Gjuyf39Tut383w&tempo=120000&= uid” segue uno schema simile alle precedenti campagne FIN7.
Maggiori informazioni sul gruppo FIN7 Cybercrime
FIN7, noto anche come Carbon Spider, Anunak, e Carbanak è un gruppo di minacce dell'Europa orientale che esiste almeno da allora 2015. L'interesse principale del gruppo sono le società con sede negli Stati Uniti in vari settori. Tuttavia, il gruppo ha operato su scala globale, Anomali notato.
Poco detto, FIN7 è considerata una delle organizzazioni criminali informatiche più pericolose al mondo, accreditato con il furto di più di 15 milioni di record di carte di pagamento che costano alle organizzazioni un miliardo di dollari di perdite.
“Solo negli Stati Uniti, il gruppo ha preso di mira oltre 100 aziende e compromesso le reti di organizzazioni in 47 stati e il Distretto di Columbia. Mentre l'obiettivo principale di FIN7 è quello di rubare direttamente informazioni finanziarie, come i dati delle carte di credito e di debito, ruberanno anche informazioni sensibili per venderle su mercati sotterranei,"Il rapporto ha rivelato.
Le forze dell'ordine di tutto il mondo hanno cercato di catturare il gruppo, compreso l'arresto di tre membri ad agosto 2018. Tuttavia, nonostante questi sforzi e l'attenzione dei media, il gruppo continua ad operare.
Le aziende precedentemente colpite dall'organizzazione criminale includono marchi come Forbes Energy Services e Gyrodata. I ricercatori della sicurezza ritengono che il recente attacco di DarkSide ransomware contro Colonial Pipeline è stato orchestrato da FIN7, così come il ransomware stesso. È interessante notare che il manager di alto livello e l'amministratore di sistema dell'organizzazione sono stati recentemente condannati a 10 anni di prigione negli Stati Uniti.