El actor de amenazas motivado financieramente conocido como FIN7 ha sido observado utilizando anuncios maliciosos de Google falsificando marcas legítimas como medio para distribuir instaladores de MSIX que culminan en la implementación de NetSupport RAT.
“Los actores de amenazas utilizaron sitios web maliciosos para hacerse pasar por marcas conocidas, incluyendo AnyDesk, WinSCP, BlackRock, Asana, Concur, The Wall Street Journal, Workable y Google Meet,” dijo la empresa de ciberseguridad eSentire en un informe publicado la semana pasada.
FIN7 (también conocido como Carbon Spider y Sangria Tempest) es un grupo e-criminal persistente que ha estado activo desde 2013, inicialmente incursionando en ataques dirigidos a dispositivos de punto de venta (PoS) para robar datos de pago, antes de pasar a atacar a grandes empresas a través de campañas de ransomware.
A lo largo de los años, el actor de amenazas ha perfeccionado sus tácticas y arsenal de malware, adoptando varias familias de malware personalizadas como BIRDWATCH, Carbanak, DICELOADER (también conocido como Lizar y Tirion), POWERPLANT, POWERTRASH y TERMITE, entre otros.
El malware de FIN7 suele ser desplegado a través de campañas de spear-phishing como entrada a la red o host objetivo, aunque en los últimos meses el grupo ha utilizado técnicas de malvertising para iniciar las cadenas de ataque.
En diciembre de 2023, Microsoft dijo que observó a los atacantes confiando en anuncios de Google para llevar a los usuarios a descargar paquetes de aplicación MSIX maliciosos, lo que finalmente llevó a la ejecución de POWERTRASH, un dropper basado en PowerShell en memoria que se utiliza para cargar NetSupport RAT y Gracewire.
“Sangria Tempest […] es un grupo cibercriminal motivado financieramente que actualmente se centra en llevar a cabo intrusiones que a menudo conducen al robo de datos, seguido por extorsión dirigida o implementación de ransomware como Clop ransomware,” señaló la gigante tecnológica en ese momento.
El abuso de MSIX como vector de distribución de malware por parte de varios actores de amenazas, probablemente debido a su capacidad para evadir mecanismos de seguridad como Microsoft Defender SmartScreen, ha llevado a que Microsoft deshabilite el manejador de protocolo de forma predeterminada.
En los ataques observados por eSentire en abril de 2024, los usuarios que visitan los sitios falsos a través de los anuncios de Google ven un mensaje emergente que les insta a descargar una extensión de navegador falsa, que es un archivo MSIX que contiene un script de PowerShell que, a su vez, recopila información del sistema y se conecta a un servidor remoto para obtener otro script de PowerShell codificado.
El segundo payload de PowerShell se utiliza para descargar y ejecutar el NetSupport RAT desde un servidor controlado por los actores.
La empresa canadiense de ciberseguridad también detectó que el troyano de acceso remoto se estaba utilizando para entregar malware adicional, que incluye DICELOADER mediante un script de Python.
“Los incidentes de FIN7 explotando nombres de marcas de confianza y utilizando anuncios web engañosos para distribuir NetSupport RAT seguido de DICELOADER resaltan la amenaza continua, especialmente con el abuso de archivos MSIX firmados por estos actores, que ha demostrado ser efectivo en sus esquemas,” dijo eSentire.
Conclusiones similares han sido informadas de forma independiente por Malwarebytes, que caracterizó la actividad como dirigida a usuarios corporativos a través de anuncios y modales maliciosos imitando marcas de alto perfil como Asana, BlackRock, CNN, Google Meet, SAP y The Wall Street Journal. Sin embargo, no atribuyó la campaña a FIN7.
Las noticias de los esquemas de malvertising de FIN7 coinciden con una ola de infecciones de SocGholish (también conocido como FakeUpdates) diseñada para apuntar a socios comerciales.
“Los atacantes utilizaron técnicas de ‘vivir de la tierra’ para recopilar credenciales sensibles, y notablemente, configuraron balizas web tanto en firmas de correo electrónico como en recursos compartidos de red para mapear relaciones locales y de negocio a negocio,” dijo eSentire. “Este comportamiento sugeriría un interés en explotar estas relaciones para atacar a pares comerciales de interés.”
También sigue al descubrimiento de una campaña de malware dirigida a usuarios de Windows y Microsoft Office para propagar RATs y mineros de criptomonedas a través de grietas en software popular.
“Una vez instalado, el malware a menudo registra comandos en el programador de tareas para mantener la persistencia, permitiendo la instalación continua de nuevo malware incluso después de su eliminación,” dijo Symantec, propiedad de Broadcom.