Campanie malware care folosește tema Windows 11 Alpha

Atacatorii se  folosesc de dezvoltarea noului sistem de operare de la Microsoft Windows 11, pentru a atrage utilizatorii să activeze codul malițios plasat în documentele Microsoft Word.

Cercetătorii au declarat că grupul de atacatori care se află în spatele campaniei ar putea fi FIN7, cunoscut și sub numele de Carbanak și Navigator, care vizează furtul datelor din carduri  bancare.

Atacatorii au inserat în documentele Microsoft Word macro-uri care descarcă un backdoor JavaScript care permite livrarea oricărui payload.

Cercetătorii de la compania de securitate cibernetică Anomali au analizat 6 astfel de documente și au declarat că backdoor-ul livrat era o variantă a unui payload care a mai fost utilizat în trecut de grupul de atacatori FIN7.

Utilizarea noului sistem de operare, îi poate face pe utilizatori să creadă că există o problemă de compatibilitate a sistemului de operare, care împiedică accesarea conținutului și că urmând instrucțiunile vor soluționa problemele care apar.

Dacă utilizatorii urmează indicațiile atacatorilor activează și execută codul malițios de tip macro VBA, pe care atacatorii l-au plasat în interiorul documentului.

Codul malițios este ascuns pentru a împiedica o posibilă analiză, dar acesta poate fi descoperit prin șirurile de caractere folosite.

Echipa de securitate Anomali a mai descoperit că script-ul VBA folosește date codificate într-un tabel ascuns în documente, pentru a efectua verificări lingvistice pe computerele care au fost infectate.

Detectarea unei anumite limbi cum ar fi rusă, ucraineană, slovacă, slovenă, estonă, sârbă poate să oprească activitatea malițioasă și poate șterge tabelul cu datele care au fost modificate.

Alte verificări sunt Reg Key language preference for Russian, VMWare, VirtualBox, Innotek, QEMU, Oracle, Hyper și Parallels (iar dacă mașina virtuală este detectată, scriptul este eliminat), memoria disponibilă ( se oprește dacă există mai puțin de 4GB).

Dacă aceste verificări sunt îndeplinite, scriptul trece la funcția unde un fișier JavaScript numit word_data.js este lansat în folderul TEMP.

Atribuirea campaniei unei grupări de atacatori se bazează pe următorii factori:

– Direcționarea unui furnizor POS se potrivește cu activitatea anterioară a grupului de atacatori FIN7;

– Utilizarea fișierelor de documente de tip macro-uri VBA se aliniază, de asemenea, cu activitatea anterioară a grupului de atacatori FIN7;

– Atacatorii FIN7 au folosit în mod constant backdoors Javascript;

– Infectarea cu codul malițios se oprește după detectarea limbilor rusă, ucraineană sau a altor câteva limbi est-europene;

– Documentul este protejat cu parolă;

– Tool-ul din fișierul JavaScript „group=doc700&rt=0&secret=7Gjuyf39Tut383w&time=120000&uid=”, folosește un model similar campaniilor FIN7 anterioare.

Sursa: https://www.bleepingcomputer.com/news/security/watch-out-for-new-malware-campaign-s-windows-11-alpha-attachment/

© Ministerul Apărării Naţionale | Site realizat de Agenția de Apărare Cibernetică