FIN7利用Windows 11的发布进行攻击

FIN7这个金融网络犯罪团伙又回来了，他们利用以新版本的Windows为主题的Word文档进行攻击，其中还附加了恶意的javascript脚本。

安全人员观察到该团伙在最近的一次攻击活动中，利用了六个不同的文件，都提到了 Windows 11 Alph这个微软即将推出的Windows 11操作系统的内部预览版本。

6月下旬，Windows 11 Alpha被发布到了该计算机巨头的开发者渠道中，它在技术人员中引起了很大的轰动，因为它提供了Windows11预览版。同时，官方在今年秋季才会正式推出Windows 11正式版。

FIN7的攻击者们希望利用这一点，通过电子邮件将该主题的文件提供给位于加州的销售点供应商Clearmind以及其他目标，所有的这些文件都带有恶意的Visual Basic(VBA)宏。

FIN7的最新攻击布局

感染链是从一个带有诱惑性图像的微软Word文档开始的，它告诉读者它是用Windows 11 Alpha制作的，该图片中的内容要求用户启用编辑以查看更多内容。

一旦编辑被启用，就会执行一个VBA宏，从.doc文件内的一个隐藏表格中获取编码值，并用一个XOR键对其进行解密。同时将创建一个脚本，对目标进行各种信息的检查。

它首先检查目标系统的语言，如果发现是俄语、乌克兰语或其他任何的东欧语言，脚本将终止运行。

该脚本还会检查是否存在虚拟机，以确保它没有在沙盒环境中被运行分析，如果发现了，将终止文件的运行。然后，它会查看目标是否在销售点(PoS)服务提供商的域名clearmind.com上。如果是，它将继续进行检查。

Clearmind域名这个攻击目标很符合FIN7的操作方式。作为一家位于加州的零售和酒店业PoS技术供应商，如果感染成功了，那么该集团将会获得大量的支付卡数据，随后在地下市场上出售这些信息。

研究人员指出，如果这个检查结果符合攻击条件，该脚本会将一个名为 "word_data.js "的JavaScript文件丢入TEMP文件夹，该文件一旦被解析运行，它就会变成FIN7的JavaScript后门，该组织自2018年以来就一直在采用该技术。从那里，FIN7就可以进一步渗透到受害者的机器中，窃取数据并进行网络侦察，然后进行横向移动。

FIN7的攻击没有放缓的迹象

FIN7(又名Carbanak Group或Navigator Group)是一个著名的威胁攻击组织，至少从2015年开始就一直在作案。该团伙通常会使用带有恶意软件的网络钓鱼文件攻击受害者，然后渗透到系统中，窃取银行卡数据并进行出售。该团伙一直在调整新的恶意软件库，它同时还针对休闲餐厅、赌场和酒店的PoS系统进行攻击。自2020年以来，该团伙还增加了勒索软件和数据泄露攻击，利用ZoomInfo服务来根据收入情况选择目标进行攻击。

目前该集团已经引起了美国司法部的注意，美国司法部认为FIN7窃取了超过1500万条支付卡记录，造成了超过10亿美元的损失。据司法部称，仅在美国，该组织就破坏了47个州和哥伦比亚特区的组织网络，司法部在6月以盗窃支付卡的罪名判处一名攻击者7年监禁和250万美元罚款，其他人员的逮捕和定罪同样也在困扰着政府。

然而，严格的法律并没有使该组织停止攻击。一个月后，它又回来了，以涉及杰克-丹尼尔斯威士忌的酒业公司的法律投诉为诱饵，成功地攻击了多家律师事务所。

FIN7是最臭名昭著的网络金融犯罪组织之一，因为他们通过众多技术和攻击面窃取了大量的敏感数据。尽管政府在全力的逮捕和判刑，包括所谓的更高级别的成员，目前该集团仍然像以前一样活跃。美国检察官认为该集团人数约为70人，这意味着该集团很可能会弥补人员上的损失，因为可能会有其他的外部人员加入。

本文翻译自：https://threatpost.com/fin7-windows-11-release/169206/如若转载，请注明原文地址。