В новой волне кибератак, группировка FIN7, известная также как Carbon Spider и Sangria Tempest, применяет тактику фальсификации известных брендов в рекламных кампаниях через Google Ads.
Целью является заражение компьютеров пользователями программ, которые в итоге устанавливают шпионское программное обеспечение NetSupport.
Группа, активная на протяжении последнего десятилетия, начинала с атак на системы обработки платежных данных и со временем расширила свои операции, добавив в арсенал такие вредоносные программы как BIRDWATCH и Carbanak. Основными методами проникновения в последнее время стали маскировка под легитимные кампании и распространение вредоносного ПО через казалось бы безобидные рекламные объявления.
В конце 2023 года корпорация Microsoft подняла вопрос об опасности MSIX-пакетов, которые, из-за их способности обходить стандартные защитные механизмы Windows, стали инструментом в руках хакеров для скрытной установки вредоносов. Это открыло двери для использования этих пакетов в мошеннических схемах, включая фальшивые обновления программ.
В апреле 2024 года аналитики из eSentire зафиксировали атаки, в которых жертвам на поддельных сайтах предлагалось установить дополнения к браузерам, являющиеся на самом деле маскированными MSIX-файлами. Эти файлы активировали скрипты PowerShell, которые собирали данные о системе и дополнительно загружали вредоносное ПО с серверов злоумышленников.
Атаки часто скрываются за названиями таких популярных сервисов, как AnyDesk, WinSCP и Google Meet, что повышает вероятность того, что пользователи доверят и выполнют инструкции злоумышленников. Данные о подобных кампаниях также подтверждены исследованиями Malwarebytes, которые хоть и не связывают напрямую эти атаки с FIN7, подчеркивают угрозу для корпоративных пользователей.
Целью является заражение компьютеров пользователями программ, которые в итоге устанавливают шпионское программное обеспечение NetSupport.
Группа, активная на протяжении последнего десятилетия, начинала с атак на системы обработки платежных данных и со временем расширила свои операции, добавив в арсенал такие вредоносные программы как BIRDWATCH и Carbanak. Основными методами проникновения в последнее время стали маскировка под легитимные кампании и распространение вредоносного ПО через казалось бы безобидные рекламные объявления.
В конце 2023 года корпорация Microsoft подняла вопрос об опасности MSIX-пакетов, которые, из-за их способности обходить стандартные защитные механизмы Windows, стали инструментом в руках хакеров для скрытной установки вредоносов. Это открыло двери для использования этих пакетов в мошеннических схемах, включая фальшивые обновления программ.
В апреле 2024 года аналитики из eSentire зафиксировали атаки, в которых жертвам на поддельных сайтах предлагалось установить дополнения к браузерам, являющиеся на самом деле маскированными MSIX-файлами. Эти файлы активировали скрипты PowerShell, которые собирали данные о системе и дополнительно загружали вредоносное ПО с серверов злоумышленников.
Атаки часто скрываются за названиями таких популярных сервисов, как AnyDesk, WinSCP и Google Meet, что повышает вероятность того, что пользователи доверят и выполнют инструкции злоумышленников. Данные о подобных кампаниях также подтверждены исследованиями Malwarebytes, которые хоть и не связывают напрямую эти атаки с FIN7, подчеркивают угрозу для корпоративных пользователей.
