Một làn sóng gần đây của các chiến dịch lừa đảo trực tuyến đã tận dụng các tài liệu Word theo chủ đề Alpha của Windows 11 kết hợp với macro Visual Basic để loại bỏ các tải trọng độc hại, bao gồm cả bộ ghép JavaScript, chống lại nhà cung cấp dịch vụ điểm bán hàng (PoS) ở Hoa Kỳ.
Anomali Threat Research cho biết trong một phân tích kỹ thuật được công bố vào ngày 2 tháng 9: “Mục tiêu được chỉ định của miền Clearmind rất phù hợp với phương thức hoạt động ưu tiên của FIN7. Chúng nhắm đến việc cung cấp một biến thể của backdoor- cửa hậu JavaScript được sử dụng ít nhất từ năm 2018.”
Là một nhóm Đông Âu hoạt động giữa năm 2015, FIN7 có lịch sử nhắm mục tiêu vào các ngành công nghiệp nhà hàng, cờ bạc và khách sạn ở Hoa Kỳ để lấy cắp thông tin tài chính như số thẻ tín dụng và thẻ ghi nợ, sau đó đã được sử dụng hoặc bán để thu lợi nhuận trong các khu chợ.
Các hoạt động của FIN7 cũng gắn liền với một nhóm khác có tên là Carbanak, với các TTP tương tự, điểm khác biệt chính là trong khi FIN7 tập trung vào lòng hiếu khách và lĩnh vực bán lẻ, Carbanak lại nhằm vào các tổ chức ngân hàng.
Trong cuộc tấn công mới nhất mà Anomali quan sát được, sự lây nhiễm bắt đầu bằng một maldoc Microsoft Word có chứa hình ảnh mồi nhử được tạo trên Windows 11 Alpha, buộc người nhận bật macro để kích hoạt giai đoạn hoạt động tiếp theo, bao gồm việc thực thi một macro VBA bị xáo trộn nhiều để truy xuất tải trọng JavaScript, sau đó chia sẻ chức năng tương tự với các cửa hậu khác được FIN7 sử dụng.
Bên cạnh việc thực hiện một số bước để cố gắng ngăn cản phân tích bằng cách điền mã với dữ liệu rác, tập lệnh VB cũng kiểm tra xem nó có đang chạy trong môi trường ảo hóa như VirtualBox và VMWare hay không, và nếu có, nó sẽ tự kết thúc. Ngoài việc dừng chuỗi lây nhiễm, còn có khả năng phát hiện tiếng Nga, tiếng Ukraina hoặc một số ngôn ngữ Đông Âu khác.
Sự quy kết của backdoor đối với FIN7 bắt nguồn từ sự chồng chéo trong hệ thống nạn nhân và các kỹ thuật được tác nhân đe dọa áp dụng, bao gồm cả việc sử dụng trọng tải dựa trên JavaScript để lấy cắp thông tin có giá trị.
Các nhà nghiên cứu cho biết: “FIN7 là một trong những nhóm có động cơ tài chính khét tiếng nhất do số lượng lớn dữ liệu nhạy cảm mà họ đã đánh cắp thông qua nhiều kỹ thuật và bề mặt tấn công”. Mọi thứ đã trở nên hỗn loạn đối với nhóm đe dọa trong vài năm qua khi sự thành công và tai tiếng luôn bị các nhà chức trách theo dõi hoạt động hơn bao giờ hết.”
Fanpage: Trí Việt JSC ( Theo tờ Thehackernews)
