Windows 11 haalt al de krantenkoppen als het gaat om de exploitatie van hackers. Blijkbaar, FIN7, een bekende hackgroep, heeft Windows gebruikt 11 thema's in een poging om ontvangers te misleiden in een recente phishing-campagne gericht op een PoS (verkooppunt) bedrijf.
Verwant: Hackers gebruiken open omleidingslinks om detectie te omzeilen bij phishing
Windows 11 Gebruikt als lokaas bij FIN7 phishing-aanvallen
"Anomali Threat Research voerde analyse uit op kwaadaardig Microsoft Word-document (.doc) bestanden met een thema naar Windows 11 Alpha en beoordelen met matig vertrouwen dat deze Word-documenten deel uitmaakten van een campagne uitgevoerd door de dreigingsgroep FIN7”, aldus een onlangs vrijgegeven dreigingsrapport.
In de genoemde aanval, dreigingsactoren maakten misbruik van de hype rond Microsofts volgende editie van Windows. Slachtoffers werden het doelwit met behulp van een Windows 11 thema dat kwaadaardige Word-documenten bevat.
Volgens Anomali's rapport, de infectieketen is geïnitieerd door een Microsoft Word-document (.doc) die een decorafbeelding bevatte die beweerde te zijn gemaakt met behulp van Windows 11 Alpha. De afbeelding zou het potentiële slachtoffer vragen om bewerking in te schakelen en inhoud in staat te stellen door te gaan met de volgende fase van activiteit. Na analyse van het bestand, de onderzoekers ontdekten een VBA-macro gevuld met ongewenste gegevens als opmerkingen. In feite, ongewenste gegevens worden vaak gebruikt om analyse te belemmeren. Nadat deze gegevens zijn verwijderd, er is een VBA-macro onthuld.
Het doel van de aanvalsketen is om een JavaScript-achterdeur op het gecompromitteerde systeem te laten vallen. Dit is wat de onderzoekers hebben samengesteld als de meest cruciale elementen van de aanval::
- Targeting van een POS-provider komt overeen met eerdere FIN7-activiteit;
- Het gebruik van lokdocumentbestanden met VBA-macro's komt ook overeen met eerdere FIN7-activiteiten;
- FIN7 heeft in het verleden Javascript-achterdeuren gebruikt;
- Infectie stopt na detectie van Russisch, Oekraïens, of verschillende andere Oost-Europese talen;
- Met wachtwoord beveiligd document;
- Gereedschapsmarkering uit Javascript-bestand “groep=doc700&rt=0&secret=7Gjuyf39Tut383w&tijd = 120000&uid =” volgt een vergelijkbaar patroon als eerdere FIN7-campagnes.
Meer over de FIN7 Cybercrime Group
FIN7, ook bekend als Carbon Spider, Anunak, en Carbanak is een Oost-Europese dreigingsgroep die in ieder geval sindsdien bestaat 2015. Het primaire belang van de groep zijn in de VS gevestigde bedrijven in verschillende sectoren. Echter, de groep opereert op wereldwijde schaal, Anomalie opgemerkt.
Kort gezegd, FIN7 wordt beschouwd als een van de gevaarlijkste cybercriminele organisaties ter wereld, gecrediteerd voor de diefstal van meer dan 15 miljoen betaalkaartrecords die organisaties een miljard dollar aan verliezen kosten.
“Alleen in de VS, de groep heeft getarget op 100 bedrijven en de netwerken van organisaties in 47 staten en het District of Columbia. Terwijl het primaire doel van FIN7 is om direct financiële informatie te stelen, zoals creditcard- en debetkaartgegevens, ze zullen ook gevoelige informatie stelen om te verkopen op ondergrondse marktplaatsen,"Het rapport onthulde".
Wetshandhavers over de hele wereld hebben geprobeerd de groep te vangen, inclusief de arrestatie van drie leden in augustus 2018. Echter, ondanks deze inspanningen en media-aandacht, de groep blijft werken.
Bedrijven die eerder door de criminele organisatie werden getroffen, zijn onder meer merken als Forbes Energy Services en Gyrodata. Beveiligingsonderzoekers zijn van mening dat de recente aanval door DarkSide ransomware tegen koloniale pijplijn werd georkestreerd door FIN7, evenals de ransomware zelf. Het is opmerkelijk dat de hoogste manager en systeembeheerder van de organisatie onlangs is veroordeeld tot: 10 jaar gevangenisstraf in de Verenigde Staten.