Se muestra un mensaje emergente instando a descargar una falsa extensión de navegador
Se ha observado que el actor de amenazas con motivación financiera conocido como FIN7 aprovecha anuncios maliciosos de Google que falsifican marcas legítimas como medio para entregar instaladores MSIX que culminan en la implementación de NetSupport RAT.
"Los actores de amenazas utilizaron sitios web maliciosos para hacerse pasar por conocidas marcas, incluidas AnyDesk, WinSCP, BlackRock, Asana, Concur, The Wall Street Journal, Workable y Google Meet", dijo la firma de ciberseguridad eSentire en un informe publicado a principios de esta semana.
FIN7 (también conocido como Carbon Spider y Sangria Tempest) es un grupo de delincuencia electrónica persistente que ha estado activo desde 2013, inicialmente incursionando en ataques dirigidos a dispositivos de punto de venta (PoS) para robar datos de pago, antes de pasar a atacar a grandes empresas a través de campañas de ransomware.
A lo largo de los años, el actor de amenazas ha perfeccionado sus tácticas y su arsenal de malware, adoptando varias familias de malware personalizadas como BIRDWATCH, Carbanak, DICELOADER (también conocido como Lizar y Tirion), POWERPLANT, POWERTRASH y TERMITE, entre otros.
El malware FIN7 se implementa comúnmente a través de campañas de phishing como entrada a la red o host objetivo, aunque en los últimos meses el grupo ha utilizado técnicas de publicidad maliciosa para iniciar las cadenas de ataque.
En diciembre de 2023, Microsoft dijo que observó que los atacantes confiaban en los anuncios de Google para atraer a los usuarios a descargar paquetes de aplicaciones MSIX maliciosos, lo que finalmente condujo a la ejecución de POWERTRASH, un cuentagotas en memoria basado en PowerShell que se utiliza para cargar NetSupport RAT y Gracewire.
"Sangria Tempest [...] es un grupo cibercriminal con motivación financiera que actualmente se centra en realizar intrusiones que a menudo conducen al robo de datos, seguido de extorsión dirigida o implementación de ransomware como Clop ransomware", señaló el gigante tecnológico en ese momento.
El abuso de MSIX como vector de distribución de malware por parte de múltiples actores de amenazas (probablemente debido a su capacidad para eludir mecanismos de seguridad como Microsoft Defender SmartScreen) ha llevado a Microsoft a desactivar el controlador de protocolo de forma predeterminada.
En los ataques observados por eSentire en abril de 2024, a los usuarios que visitan sitios falsos a través de anuncios de Google se les muestra un mensaje emergente instándolos a descargar una falsa extensión de navegador, que es un archivo MSIX que contiene un script de PowerShell que, a su vez, recopila información del sistema y contacta a un servidor remoto para buscar otro script de PowerShell codificado.
La segunda carga útil de PowerShell se utiliza para descargar y ejecutar NetSupport RAT desde un servidor controlado por el actor.
La compañía canadiense de ciberseguridad dijo que también detectó el troyano de acceso remoto utilizado para entregar malware adicional, que incluye DICELOADER mediante un script Python.
"Los incidentes de FIN7 explotando marcas confiables y usando anuncios web engañosos para distribuir NetSupport RAT seguido de DICELOADER resaltan la amenaza actual, particularmente con el abuso de archivos MSIX firmados por parte de estos actores, que ha demostrado ser efectivo en sus esquemas", dijo eSentire.
Malwarebytes informó de forma independiente hallazgos similares, que caracterizó la actividad como señalar a usuarios corporativos a través de anuncios maliciosos y modales imitando marcas de alto perfil como Asana, BlackRock, CNN, Google Meet, SAP y The Wall Street Journal. Sin embargo, no atribuyó la campaña a FIN7.
Las noticias sobre los esquemas de publicidad maliciosa de FIN7 coinciden con una ola de infección SocGholish (también conocida como FakeUpdates) diseñada para apuntar a socios comerciales.
"Los atacantes utilizaron técnicas de vida de la tierra (living-off-the-land) para recopilar credenciales confidenciales y, en particular, configuraron web beacons tanto en firmas de correo electrónico como en recursos compartidos de red para trazar relaciones locales y de empresa a empresa", dijo eSentire. "Este comportamiento sugeriría un interés en explotar estas relaciones para dirigirse a socios comerciales de interés".
También sigue al descubrimiento de una campaña de malware dirigida a usuarios de Windows y Microsoft Office para propagar RAT y mineros de criptomonedas a través de cracks para software popular.
"El malware, una vez instalado, a menudo registra comandos en el programador de tareas para mantener la persistencia, lo que permite la instalación continua de nuevo malware incluso después de su eliminación", dijo Symantec, propiedad de Broadcom.