Οι hackers FIN7 εμφανίζουν κακόβουλες διαφημίσεις στη Google που μιμούνται γνωστά και νόμιμα brands, με σκοπό την ανάπτυξη του NetSupport RAT στις συσκευές των θυμάτων.
Σύμφωνα με έκθεση της eSentire, οι επιτιθέμενοι δημιουργούν κακόβουλους ιστότοπους για να μιμηθούν γνωστές επωνυμίες, συμπεριλαμβανομένων των AnyDesk, WinSCP, BlackRock, Asana, Concur, The Wall Street Journal, Workable και Google Meet. Με αυτόν τον τρόπο, προσπαθούν να προσελκύσουν τους χρήστες.
Οι χρήστες επισκέπτονται τους ψεύτικους ιστότοπους των hackers FIN7, μέσω των διαφημίσεων Google, και βλέπουν ένα αναδυόμενο μήνυμα που τους προτρέπει να κατεβάσουν μια ψεύτικη επέκταση προγράμματος περιήγησης. Είναι ένα αρχείο MSIX που περιέχει ένα PowerShell script. Αυτό, με τη σειρά του, συγκεντρώνει πληροφορίες συστήματος και επικοινωνεί με έναν απομακρυσμένο διακομιστή για να ανακτήσει ένα άλλο κωδικοποιημένο PowerShell script.
Το δεύτερο PowerShell payload χρησιμοποιείται για τη λήψη και την εκτέλεση του NetSupport RAT.
Δείτε επίσης: Ψεύτικες συνεντεύξεις εργασίας διανέμουν νέο Python RAT
Σύμφωνα με την eSentire, το RAT malware χρησιμοποιείται και για την παροχή πρόσθετου κακόβουλου λογισμικού (DICELOADER μέσω ενός Python script).
“Τα περιστατικά εκμετάλλευσης αξιόπιστων brands και χρήσης παραπλανητικών διαφημίσεων Google για τη διανομή του NetSupport RAT από τους hackers FIN7, υπογραμμίζουν τη συνεχιζόμενη απειλή, ιδιαίτερα με την κατάχρηση υπογεγραμμένων αρχείων MSIX, η οποία έχει αποδειχθεί αποτελεσματική στα σχέδια τους“, ανέφερε η eSentire.
Οι hackers FIN7 (γνωστοί και ως Carbon Spider και Sangria Tempest) είναι μια ομάδα απειλών που δραστηριοποιείται από το 2013. Αρχικά, πραγματοποιούσε επιθέσεις που στόχευαν συσκευές PoS, για την κλοπή δεδομένων πληρωμών. Αργότερα συνδέθηκε με επιθέσεις ransomware.
Με τα χρόνια, οι επιτιθέμενοι έχουν βελτιώσει τις τακτικές τους και τα εργαλεία τους, υιοθετώντας διάφορες οικογένειες κακόβουλου λογισμικού όπως το BIRDWATCH, το Carbanak, το DICELOADER (γνωστό και ως Lizar και το Tirion), το POWERPLANT, το POWERTRASH και το TERMITE.
Δείτε επίσης: Συνελήφθησαν δύο άτομα που σχετίζονται με το Firebird RAT
Το κακόβουλο λογισμικό των hackers FIN7 αναπτύσσεται συνήθως μέσω εκστρατειών spear-phishing, αν και τους τελευταίους μήνες η ομάδα χρησιμοποιεί κακόβουλες διαφημίσεις για να ξεκινήσει τις αλυσίδες επίθεσης (όπως στη συγκεκριμένη περίπτωση με το NetSupport RAT).
Προστασία
Ένας από τους πιο αποτελεσματικούς τρόπους για την προστασία των χρηστών είναι η εκπαίδευση στην ασφάλεια του διαδικτύου. Οι χρήστες πρέπει να είναι ενήμεροι για τους κινδύνους που συνεπάγονται η λήψη λογισμικού από μη αξιόπιστες πηγές και το κλικ σε διαφημίσεις που φαίνονται ύποπτες.
Επιπλέον, η χρήση ενός αξιόπιστου λογισμικού antivirus μπορεί να προσφέρει σημαντική προστασία. Τα προγράμματα αυτά μπορούν να ανιχνεύσουν και να απομακρύνουν ύποπτα προγράμματα πριν αυτά μπορέσουν να προκαλέσουν ζημιά στον υπολογιστή του χρήστη.
Δείτε επίσης: Κακόβουλες διαφημίσεις διανέμουν info-stealer malware σε MacOS
Η χρήση ενός λογισμικού που παρέχει προστασία από κακόβουλες διαφημίσεις (adware) είναι επίσης μια καλή επιλογή. Τα προγράμματα αυτά μπορούν να αποτρέψουν την εμφάνιση των κακόβουλων διαφημίσεων των hackers FIN7 και να προστατεύσουν τους χρήστες από την εγκατάσταση trojanized λογισμικών.
Τέλος, οι χρήστες πρέπει να διατηρούν το λειτουργικό σύστημα και όλες τις εφαρμογές τους ενημερωμένες. Οι ενημερώσεις αυτές συχνά περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να προστατεύσουν τους χρήστες από τις πιο πρόσφατες απειλές.
Πηγή: thehackernews.com
