FIN7 распространяет бэкдор под видом документов на тему Windows 11

Специалисты компании Anomali сообщили о волне целевых фишинговых атак, использующих вредоносный документ Microsoft Word, эксплуатирующий тему новой ОС Windows 11. Документ служит для распространения JavaScript-бэкдора для сбора информации с зараженных устройств.

Атаки, направленные на неназванного американского провайдера PoS-сервисов, имели место в июне-июле нынешнего года. Вредоносная кампания предположительно является делом рук известной киберпреступной группировки FIN7, которая несмотря на арест главарей по-прежнему остается активной.

Группировка осуществляет атаки по меньшей мере с середины 2015 года и в основном атакует организации в сфере ресторанного бизнеса, игровой индустрии и сферы гостеприимства.

В недавней кампании злоумышленники использовали вредоносный документ Word, содержащий изображение, якобы сделанное на устройстве под управлением Windows 11 Alpha. Изображение побуждает пользователя активировать макрос для инициирования второго этапа атаки, предусматривающего выполнение обфусцированного VBA-макроса для загрузки полезной нагрузки JavaScript, которая, в свою очередь, загружает бэкдор.

Скрипт проверяет среду, в которой находится, и, если это виртуальная машина, например, VirtualBox или VMWare, он самоудаляется. Вредонос также прекращает атаку на машинах, с установленным русским, украинским или рядом других восточноевропейских языков.