Хакерская группировка FIN7 освоила новые техники доставки и обфускации вредоносного ПО. С начала 2017 года FIN7, известная также как Anunak и Carbanak, начала распространять вредоносное ПО через файлы LNK, встроенные в документы Word, используя OLE-технологию . В ходе атак использовался метод беcфайлового заражения, при котором файлы не записываются на диск.
Теперь хакеры переключились на использование файлов CMD вместо LNK, пытаясь, скорее всего, избежать обнаружения. CMD-файл вписывает скрипт JScript в документ «tt.txt» и помещает его в домашней папке текущего пользователя.
Затем скрипт копирует себя в «pp.txt» в той же папке, после чего запускает WScript, используя механизм JScript в файле. Код JScript затем считывает из файла «pp.txt» все данные после первого символа для каждой строки, пропуская только код самого CMD в первых четырех строках. Также как и в случае с файлами LNK, использование встроенных CMD-файлов с помощью OLE приводит к выполнению кода на устройстве жертвы.
Исследователи также выявили серию изменений в методе обфускации эксклюзивного бэкдора HALFBAKED, который в течение прошлого года был неоднократно модифицирован. До сих пор в HALFBAKED использовалась кодировка base64, хранящаяся в переменной массива строк, под названием «srcTxt». Теперь название обфусцируется, а сама строка разбивается на несколько строк внутри массива.
Помимо этого, бэкдор теперь включает встроенную команду «getNK2», предназначенную для извлечения списка автозаполнения в почтовом клиенте Microsoft Outlook. По всей видимости, команда названа по аналогии с файлом NK2, содержащим список автозаполнения в Microsoft Outlook 2007 и 2010. Это может указывать на желание злоумышленников получить новые объекты для фишинговыхрассылок в целевой организации, отмечают исследователи.
Ранее хакерской группировке FIN7 удалось похитить более 1 млрд рублей у банковских организаций и платежных систем в России и в странах постсоветского пространства.
Теперь хакеры переключились на использование файлов CMD вместо LNK, пытаясь, скорее всего, избежать обнаружения. CMD-файл вписывает скрипт JScript в документ «tt.txt» и помещает его в домашней папке текущего пользователя.
Затем скрипт копирует себя в «pp.txt» в той же папке, после чего запускает WScript, используя механизм JScript в файле. Код JScript затем считывает из файла «pp.txt» все данные после первого символа для каждой строки, пропуская только код самого CMD в первых четырех строках. Также как и в случае с файлами LNK, использование встроенных CMD-файлов с помощью OLE приводит к выполнению кода на устройстве жертвы.
Исследователи также выявили серию изменений в методе обфускации эксклюзивного бэкдора HALFBAKED, который в течение прошлого года был неоднократно модифицирован. До сих пор в HALFBAKED использовалась кодировка base64, хранящаяся в переменной массива строк, под названием «srcTxt». Теперь название обфусцируется, а сама строка разбивается на несколько строк внутри массива.
Помимо этого, бэкдор теперь включает встроенную команду «getNK2», предназначенную для извлечения списка автозаполнения в почтовом клиенте Microsoft Outlook. По всей видимости, команда названа по аналогии с файлом NK2, содержащим список автозаполнения в Microsoft Outlook 2007 и 2010. Это может указывать на желание злоумышленников получить новые объекты для фишинговыхрассылок в целевой организации, отмечают исследователи.
Ранее хакерской группировке FIN7 удалось похитить более 1 млрд рублей у банковских организаций и платежных систем в России и в странах постсоветского пространства.
