Исследователи обнаружили, что финансово мотивированная группировка FIN7 (она же Carbon Spider и Sangria Tempest) использует вредоносную рекламу в Google Ads, имитируя известные бренды. Таким способом хакеры доставляют жертвам инсталляторы MSIX, которые в итоге приводят к установке вредоноса NetSupport.
Напомним, что группировка FIN7 активна более десяти лет, с 2013 года. Сначала группа занималась PoS-атаками на с целью кражи платежных данных, а затем переключилась на взлом крупных компаний, распространяя вымогательское ПО.
С течением времени хакеры усовершенствовали свои тактики и расширили арсенал малвари, используя, в том числе, таких вредоносов, как BIRDWATCH, Carbanak, DICELOADER (он же Lizar и Tirion), POWERPLANT, POWERTRASH и TERMITE.
Как правило, малварь FIN7 распространяется с помощью направленных фишинговых кампаний, целью которых является получение доступа к целевой сети или хосту, но в последние месяцы группа все чаще использует для своих атак вредоносную рекламу.
К примеру, еще в декабре 2023 года Microsoft предупреждала, что злоумышленники использовали Google Ads, чтобы обманом вынуждать пользователей загружать вредоносные пакеты MSIX, что в итоге приводило к выполнению in-memory дроппера POWERTRASH, который используется для загрузки NetSupport RAT и Gracewire.
Злоупотребление MSIX для распространения малвари связано с его способность обходить такие защитные механизмы, как Microsoft Defender SmartScreen. В итоге это побудило Microsoft отключить обработчик протокола по умолчанию.
В атаках, замеченных eSentire в апреле 2024 года, пользователям, которые попадают на фальшивые сайты через рекламу Google Ads, показывается всплывающее сообщение, призывающее их загрузить фальшивое расширение для браузера, которое представляет собой MSIX-файл, содержащий PowerShell-скрипт. Тот, в свою очередь, собирает информацию о системе и обращается к удаленному серверу для получения другого PowerShell-скрипта.
«Злоумышленники использовали [рекламу Google Ads] и вредоносные сайты, чтобы выдать себя за известные бренды, включая AnyDesk, WinSCP, BlackRock, Asana, Concur, The Wall Street Journal, Workable и Google Meet», — говорят аналитик компании eSentire.
Упомянутый второй PowerShell-скрипт применяется для загрузки и выполнения NetSupport RAT с контролируемого злоумышленниками сервера. Исследователи заявили, что также обнаружили троян удаленного доступа, используемый для доставки дополнительной малвари, включая DICELOADER.
Стоит отметить, что аналогичные данные были получены и компанией Malwarebytes, которая охарактеризовала активность хакеров как атаки на корпоративных пользователей с помощью вредоносной рекламы, имитирующей такие известные бренды, как Asana, BlackRock, CNN, Google Meet, SAP и The Wall Street Journal. Однако Malwarebytes не приписывает эту кампанию FIN7.