Peretas FIN7 Menggunakan Dokumen Bertema Windows 11 untuk Menjatuhkan Backdoor Javascript

  • Whatsapp
Microsoft Windows 11

Gelombang kampanye spear-phishing baru-baru ini memanfaatkan dokumen Word bertema Windows 11 Alpha yang dipersenjatai dengan makro Visual Basic untuk menjatuhkan muatan berbahaya, termasuk implan JavaScript, terhadap penyedia layanan point-of-sale (PoS) yang berlokasi di AS

Serangan itu, yang diyakini terjadi antara akhir Juni hingga akhir Juli 2021, telah dikaitkan dengan “kepercayaan sedang” kepada aktor ancaman bermotivasi finansial yang dijuluki FIN7, menurut para peneliti dari perusahaan keamanan siber Anomali.

Bacaan Lainnya

“Penargetan spesifik dari domain Clearmind sangat cocok dengan modus operandi pilihan FIN7,” Anomali Threat Research dikatakan dalam analisis teknis yang diterbitkan pada 2 September. “Tujuan grup tampaknya adalah untuk memberikan variasi pintu belakang JavaScript yang digunakan oleh FIN7 setidaknya sejak 2018.”

Grup Eropa Timur yang aktif setidaknya sejak pertengahan 2015, FIN7 memiliki sejarah kotak-kotak yang menargetkan industri restoran, perjudian, dan perhotelan di AS untuk menjarah informasi keuangan seperti nomor kartu kredit dan debit yang kemudian digunakan atau dijual untuk keuntungan di bawah tanah pasar.

Microsoft Windows 11

Meskipun beberapa anggota kolektif telah dipenjara karena peran mereka dalam kampanye yang berbeda sejak awal tahun, kegiatan FIN7 juga telah dikaitkan dengan kelompok lain yang disebut Carbanak, mengingat TTP yang serupa, dengan perbedaan utama adalah bahwa sementara FIN7 berfokus pada keramahan dan sektor ritel, Carbanak telah memilih lembaga perbankan.

Dalam serangan terbaru yang diamati oleh Anomali, infeksi dimulai dengan maldoc Microsoft Word yang berisi gambar umpan yang konon telah “dibuat di Windows 11 Alpha,” mendesak penerima untuk mengaktifkan makro untuk memicu tahap aktivitas berikutnya, yang melibatkan eksekusi makro VBA yang sangat dikaburkan untuk mengambil muatan JavaScript, yang telah ditemukan untuk dibagikan fungsi serupa dengan backdoor lain yang digunakan oleh FIN7.

Selain mengambil beberapa langkah untuk mencoba menghalangi analisis dengan mengisi kode dengan data sampah, skrip VB juga memeriksa apakah berjalan di bawah lingkungan tervirtualisasi seperti VirtualBox dan VMWare, dan jika demikian, akan menghentikan dirinya sendiri, selain menghentikan rantai infeksi. setelah mendeteksi bahasa Rusia, Ukraina, atau beberapa bahasa Eropa Timur lainnya.

Atribusi pintu belakang ke FIN7 berasal dari tumpang tindih dalam viktimologi dan teknik yang diadopsi oleh aktor ancaman, termasuk penggunaan muatan berbasis JavaScript untuk menjarah informasi berharga.

“FIN7 adalah salah satu kelompok motivasi finansial paling terkenal karena sejumlah besar data sensitif yang mereka curi melalui berbagai teknik dan permukaan serangan,” kata para peneliti. “Hal-hal telah bergejolak bagi kelompok ancaman selama beberapa tahun terakhir karena kesuksesan dan ketenaran selalu menjadi perhatian pihak berwenang. Meskipun penangkapan dan hukuman tingkat tinggi, termasuk dugaan anggota berpangkat lebih tinggi, kelompok itu terus menjadi sebagai aktif seperti biasa.”

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *