Başarılı zaman ve zamanın tekrar kanıtladığı basit bir tarife dayanarak, tehdit aktörleri kısa süre önce, alıcıları Microsoft Word belgelerinin içine yerleştirilen kötü amaçlı kodu etkinleştirmek için bir Windows 11 temasını kullanan bir kötü amaçlı yazılım kampanyası kullandılar.
Güvenlik araştırmacıları, kampanyanın arkasındaki rakiplerin, ödeme kartı verilerini çalma konusunda uzmanlaşmış olan Carbanak ve Navigator olarak da bilinen Fin7 Sibercrime grubu olabileceğine inanıyor.
Düşüncüsü, Microsoft'un Haziran başında başlayan bir sonraki işletim sistemi sürümünün geliştirilmesi için yapılan detaylar etrafında oluşturulan Buzz'tan faydalandı.
Cybercriminals, saldırganın istedikleri herhangi bir yük taşımasını sağlayan bir JavaScript Backdoor'u indiren makro kodlu Microsoft Word belgeleri bağladı.
Siber Güvenlik Şirketinde Araştırmacılar Anomali, altı belgeyi analiz etti ve teslim edilen arka kapı, en az 2018'den beri Fin7 grubu tarafından yaygın olarak kullanılan bir yükün varyasyonu olduğu görülüyor.
Kampanyada kullanılan isimler, faaliyetin Haziran ayı sonlarında ve Temmuz ayı sonları arasında gerçekleşebileceğini gösteriyor gibi görünüyor, Windows 11 hakkında haberler daha düzenli olarak ortaya çıkmaya başladı.
Kötü niyetli dosyaların nasıl teslim edildiğinin belirsizliği değil, kimlik avı e-postası genellikle nasıl olur. Belgeyi açmak, Alıcıyı makro içeriğini etkinleştirmek için alıcıyı kandırmak için tasarlanan metinlerle Windows 11 görüntülerini gösterir.
Belgenin daha yeni bir işletim sistemi ile oluşturulduğu iddiası, bazı kullanıcıların içeriğe erişmeyi önleyen ve talimatları izleyen bir uyumluluk sorunu olduğuna inandırabilir.
Kullanıcı göstergeye etki ederse, tehdit aktörünün belgenin içine yerleştirildiği kötü amaçlı VBA makrosunu etkinleştirir ve yürütürler.
Kod, analizi engellemek için iğrençtir, ancak fazlalığı temizlemenin ve yalnızca ilgili dizeleri bırakmanın yolları vardır.
Anomali araştırmacıları, dahil VBScript'in, virüslü bilgisayarda dil kontrollerini gerçekleştirmek için belgedeki gizli bir tablonun içine kodlanan bazı değerlere dayandığını buldular.
Belirli bir dili tespit etmek (Rusça, Ukrayna, Moldovan, Suyu, Slovak, Sloven, Estonya, Sırp), kötü amaçlı aktiviteye bir durur ve masayı kodlanmış değerlerle siler.
Kod ayrıca, Anomali araştırmacılarının bir satış noktası (POS) sağlayıcısına atıfta bulunduğu söylendiği etki alanı Clearmind'u arar.
Diğer kodların şunları yaptığını kontrol eder:
"Kontroller tatmin edici ise, komut dosyası Word_Data.js adlı bir JavaScript dosyasının TEMP klasörüne düşürüldüğü fonksiyona ilerler" - Anomali
Javascript çok şaşırtılmış ve temizlik, Fin7 Cybercrime grubuna bağlı diğer arka kapılara benzeyen bir arka kapı ortaya çıkarır, Anomali Araştırmacıları.
Aşağıdaki faktörlere dayanan nitelik için ılımlı bir güven var:
Fin7 en az 2013'ten bu yana geçti, ancak 2015'ten bu yana daha büyük bir ölçekte tanındı. Üyelerinden bazıları tutuklandı ve mahkum edildi, ancak saldırılar ve kötü amaçlı yazılımların birçoğunun birçoğunun bir kısmı tutuklandığı 2018'den bile gruba atfedilmeye devam edildi [1, 2].
Saldırganlar, çeşitli işletmelerin müşterilerine ait ödeme kartı verilerini çalmaya odaklanmıştır. ABD'deki faaliyetleri, yaklaşık 3.600 ayrı iş yerinde 6,500'den fazla zamandan fazla terminal tarafından işlenen 20 milyondan fazla bir terminal tarafından işlenen 20 milyondan fazla kart kaydının çalınmasından 1 milyar doların üzerindedir.
Fin7 isabetindeki şirketler arasında Chipotle Meksika ızgarası, Biber, Arby, Red Robin ve Jason'un Deli'dir.
Kimlik avı kampanyası, kötü amaçlı yazılımları dağıtmak için UPS.com XSS vuln kullanır.
Windows 11, desteklenmeyen cihazlarda güvenlik güncelleştirmelerini alamayabilir
Microsoft Windows 11 Başlat Menüsünü, Teams Promo'lu Görev Çubuğunu Bırakır
Microsoft, Kurumsal Test için Windows 11 özellik güncellemesini serbest bıraktı
Windows 11 yalnızca bir Intel 7. Gen CPU'yu desteklemek için, AMD ZEN 1 CPU'lar yok
Kaynak: Bleeping Computer