FIN7 distribuisce backdoor camuffate da documenti a tema Windows 11

Nonostante l’arresto di membri chiave, il gruppo rimane attivo.

Specialisti di Anomali hanno segnalato un’ondata di attacchi di phishing mirati utilizzando un documento Microsoft Word dannoso che sfrutta il tema del nuovo Windows 11. Il documento serve a distribuire una backdoor JavaScript per raccogliere informazioni dai dispositivi infetti.

A giugno-luglio di quest’anno si sono verificati attacchi mirati a un fornitore americano di servizi PoS sconosciuto. La campagna malevola sarebbe opera del noto gruppo di criminali informatici FIN7, che, nonostante l’arresto dei capibanda, è ancora attivo.

Il gruppo effettua attacchi almeno dalla metà del 2015 e attacca principalmente organizzazioni nel settore della ristorazione, del gioco e dell’ospitalità.

In una recente campagna, gli aggressori hanno utilizzato un documento Word dannoso contenente un’immagine presumibilmente scattata su un dispositivo con Windows 11 Alpha. L’immagine richiede all’utente di attivare la macro per avviare la seconda fase dell’attacco, che prevede l’esecuzione di una macro VBA offuscata per caricare il payload JavaScript, che a sua volta carica la backdoor.

Lo script controlla l’ambiente in cui si trova e, se si tratta di una macchina virtuale, ad esempio VirtualBox o VMWare, si autoelimina. Il malware interrompe anche il suo attacco alle macchine con installato russo, ucraino o una serie di altre lingue dell’Europa orientale.