Kihasznált márkák, kártékony kóddal
A FIN7 ismert márkákat meghamisító rosszindulatú Google-hirdetéseket használ fel a NetSupport RAT telepítéséhez szükséges MSIX telepítőprogramok célba juttatásához.
A fenyegető szereplők rosszindulatú webhelyeket használtak arra, hogy jól ismert márkáknak adják ki magukat, köztük az AnyDesk, a WinSCP, a BlackRock, az Asana, a Concur, a The Wall Street Journal, a Workable és a Google Meet – állítja az eSentire kiberbiztonsági cég.
A FIN7 (más néven Carbon Spider és Sangria Tempest) egy 2013 óta aktív, kitartó e-bűnözési csoport, amely kezdetben az értékesítési pontok (PoS) eszközeit célzó támadásokkal foglalkozott, hogy fizetési adatokat lopjon el, mielőtt áttért volna a nagyvállalatok megtörésére zsarolóvírus-kampányok révén.
Azok a felhasználók, akik a szponzorált Google Ads szolgáltatáson keresztül keresik fel a rosszindulatú webhelyet, egy hamis előugró ablakot kapnak, amely arra kéri őket, hogy töltsenek le egy hamis böngészőbővítményt. Úgy tűnik, hogy a hamis böngészőbővítmény egy MSIX-fájl, egy Windows-alkalmazás-csomagolási formátum.