FIN7 在最近的恶意活动中积极利用恶意广告

标准的安全措施对于攻击者复杂的策略是无能为力的。

eSentire 报告了 FIN7 黑客组织发起的新一波攻击，该组织伪装成知名品牌来传播恶意软件。这些攻击的目标用户是通过虚假的谷歌广告访问模仿合法网站的网页的用户。

eSentire 报告 FIN7

报告称，FIN7（也称为 Carbon Spider 和 Sangria Tempest）自 2013 年以来一直活跃，最初以商家为目标窃取支付数据，后来开始进行勒索软件攻击。该组织使用了许多自己的恶意软件，包括 BIRDWATCH 和 Carbanak。

近几个月来，FIN7 开始使用恶意广告技术，这导致 MSIX 安装程序通过虚假广告激增。这些安装程序会激活 PowerShell 脚本，最终通过 NetSupport RAT 远程访问和管理受感染的主机。

“恶意广告”

微软指出，使用 MSIX 作为恶意软件分发渠道可以更轻松地绕过 Microsoft Defender SmartScreen 等保护机制，这促使该公司默认禁用此协议处理程序。

微软 停用此协议处理程序

据 eSentire 称，2024 年 4 月，虚假网站的受害者被要求下载虚假的浏览器扩展程序，这是收集系统信息然后下载恶意软件的另一种方式。

eSentire 专家还发现该木马可用于进一步安装其他恶意软件，包括 DICELOADER。这些发现得到了 Malwarebytes 报告的支持，该报告声称这些攻击针对的是通过伪装成知名品牌来欺骗的企业用户。

已确认 恶意软件字节 检测到另一次攻击， 赛门铁克