De financieel gemotiveerde dreigingsacteur die bekend staat als FIN7 Er is waargenomen dat kwaadaardige Google-advertenties worden gebruikt om legitieme merken te vervalsen als middel om MSIX-installatieprogramma's te leveren die uitmonden in de implementatie van NetSupport RAT.
“De bedreigingsactoren gebruikten kwaadaardige websites om zich voor te doen als bekende merken, waaronder AnyDesk, WinSCP, BlackRock, Asana, Concur, The Wall Street Journal, Workable en Google Meet”, aldus cyberbeveiligingsbedrijf eSentire in een eerder deze week gepubliceerd rapport.
FIN7 (ook bekend als Carbon Spider en Sangria Tempest) is een hardnekkige e-criminaliteitsgroep die sinds 2013 actief is en zich aanvankelijk bezighield met aanvallen gericht op point-of-sale (PoS)-apparaten om betalingsgegevens te stelen, voordat ze zich richtte op het binnendringen van grote bedrijven via ransomwarecampagnes .
In de loop der jaren heeft de bedreigingsacteur zijn tactieken en malwarearsenaal verfijnd, door verschillende aangepaste malwarefamilies over te nemen, zoals onder meer BIRDWATCH, Carbanak, DICELOADER (ook bekend als Lizar en Tirion), POWERPLANT, POWERTRASH en TERMITE.
FIN7-malware wordt doorgaans ingezet via spearphishing-campagnes als toegang tot het doelnetwerk of de doelhost, hoewel de groep de afgelopen maanden malvertisingtechnieken heeft gebruikt om de aanvalsketens te initiëren.
In december 2023 zei Microsoft te hebben waargenomen dat de aanvallers vertrouwden op Google-advertenties om gebruikers ertoe te verleiden kwaadaardige MSIX-applicatiepakketten te downloaden, wat uiteindelijk leidde tot de uitvoering van POWERTRASH, een op PowerShell gebaseerde in-memory dropper die wordt gebruikt om NetSupport RAT en Gracewire te laden.
“Sangria Tempest (…) is een financieel gemotiveerde cybercriminele groep die zich momenteel richt op het uitvoeren van inbraken die vaak leiden tot gegevensdiefstal, gevolgd door gerichte afpersing of de inzet van ransomware, zoals de Clop-ransomware”, merkte de technologiegigant destijds op.
Het misbruik van MSIX als malwareverspreidingsvector door meerdere bedreigingsactoren – waarschijnlijk vanwege het vermogen om beveiligingsmechanismen zoals Microsoft Defender SmartScreen te omzeilen – heeft Microsoft er sindsdien toe aangezet de protocolhandler standaard uit te schakelen.
Bij de aanvallen die eSentire in april 2024 heeft waargenomen, krijgen gebruikers die de nepsites bezoeken via Google-advertenties een pop-upbericht te zien waarin hen wordt aangespoord een valse browserextensie te downloaden. Dit is een MSIX-bestand met een PowerShell-script dat op zijn beurt systeeminformatie en neemt contact op met een externe server om een ander gecodeerd PowerShell-script op te halen.
De tweede PowerShell-payload wordt gebruikt om de NetSupport RAT te downloaden en uit te voeren vanaf een door een actor bestuurde server.
Het Canadese cyberbeveiligingsbedrijf zei dat het ook de trojan voor externe toegang had gedetecteerd die werd gebruikt om aanvullende malware te verspreiden, waaronder DICELOADER, door middel van een Python-script.
“De incidenten waarbij FIN7 vertrouwde merknamen misbruikt en misleidende webadvertenties gebruikt om NetSupport RAT te verspreiden, gevolgd door DICELOADER, benadrukken de voortdurende dreiging, vooral met het misbruik van ondertekende MSIX-bestanden door deze actoren, wat effectief is gebleken in hun plannen”, aldus eSentire.
Soortgelijke bevindingen zijn onafhankelijk gerapporteerd door Malwarebytes, die de activiteit karakteriseerde als het uitkiezen van zakelijke gebruikers via kwaadaardige advertenties en modaliteiten door het nabootsen van spraakmakende merken als Asana, BlackRock, CNN, Google Meet, SAP en The Wall Street Journal. Het heeft de campagne echter niet aan FIN7 toegeschreven.
Het nieuws over de malvertisingprogramma's van FIN7 valt samen met een SocGholish (ook bekend als FakeUpdates) infectiegolf die is ontworpen om zakenpartners te targeten.
“Aanvallers gebruikten technieken die van het land afkomstig waren om gevoelige inloggegevens te verzamelen, en configureerden met name webbakens in zowel e-mailhandtekeningen als netwerkshares om lokale en business-to-business-relaties in kaart te brengen”, aldus eSentire. “Dit gedrag zou kunnen duiden op een interesse in het exploiteren van deze relaties om zich te richten op zakelijke collega's.”
Het volgt ook op de ontdekking van een malwarecampagne gericht op Windows- en Microsoft Office-gebruikers om RAT's en cryptocurrency-mijnwerkers te verspreiden via cracks voor populaire software.
“De malware registreert, eenmaal geïnstalleerd, vaak opdrachten in de taakplanner om de persistentie te behouden, waardoor een continue installatie van nieuwe malware mogelijk wordt, zelfs na verwijdering”, aldus Symantec, eigendom van Broadcom.
