Hackers FIN7 Abusano di Google Ads Sponsorizzati per Distribuire Carichi Utili MSIX

Hackers abusano di Google Ads per distribuire malware

Abuso di Google Ads i per distribuire malware: cosa fare?

Nel mese di aprile 2024, il Threat Response Unit (TRU) di eSentire ha rilevato una serie di attacchi da parte del gruppo di hacker FIN7, noto per le sue attività criminali finanziariamente motivate. Gli attaccanti hanno abusato degli annunci pubblicitari sponsorizzati di Google per distribuire malware, ingannando le vittime con siti web contraffatti che imitano marchi noti come AnyDesk, WinSCP, e Google Meet.

Come Funziona l’Attacco?

Gli hacker FIN7 hanno utilizzato siti web contraffatti per distribuire il NetSupport RAT e il DiceLoader malware, attirando le vittime con annunci sponsorizzati di Google e offrendo falsi browser extension mascherati come file MSIX firmati da “SOFTWARE SP Z O O” e “SOFTWARE BYTES LTD”. Una volta scaricati, i file MSIX hanno raccolto informazioni sul sistema, registrato i titoli del software antivirus e generato GUID per creare URL C2 e caricare script aggiuntivi.

Se il server ha risposto con “usradm”, il malware ha scaricato il payload NetSupport RAT attraverso specifici formati URL e agenti utente. Il file scaricato è stato estratto in C:\ProgramData\netsupport, dove FIN7 ha eseguito il suo eseguibile RAT come dimostrazione della loro catena di infezione multi-stage.

In un secondo incidente, un utente ha scaricato un falso installer MSIX “MeetGo”, che ha rilasciato il NetSupport RAT. Poche ore dopo, il malware ha connesso il RAT, utilizzato csvde.exe per esportare i dati di Active Directory computer e scaricato un “Adobe_017301.zip” contenente svchostc.exe (rinominato python.exe) e svchostc.py (payload Python).

Dopo la ricognizione, il malware ha creato un task pianificato per persistere svchostc.py, che ha decrittografato e iniettato il DiceLoader malware nella memoria, comunicando con C2 XOR-encrypted incorporati nel suo set di dati.

Raccomandazioni per la Sicurezza Informatica

Per proteggere la tua azienda da queste minacce, segui queste raccomandazioni:

  • Deploy Endpoint Detection and Response (EDR) solutions across all devices.: Implementare soluzioni di rilevamento e risposta degli endpoint (EDR) su tutti i dispositivi per aumentare la visibilità e la capacità di risposta agli attacchi.
  • Implement Phishing and Security Awareness Training (PSAT) program: Implementare un programma di formazione sulla sicurezza e la consapevolezza delle minacce di phishing per educare i dipendenti su come riconoscere e rispondere alle minacce informatiche.
  • Control MSIX execution via AppLocker policies: Implementare politiche AppLocker per controllare l’esecuzione di MSIX e altri file sospetti, riducendo il rischio di infezioni da malware.
  • Report incidents of certificate misuse by threat actors: Segnalare incidenti di abuso di certificati da parte degli attori delle minacce alle autorità competenti, contribuendo a contrastare le attività criminali informatiche.

La minaccia rappresentata dai gruppi di hacker come FIN7 richiede un approccio proattivo alla sicurezza informatica. Implementando soluzioni di sicurezza avanzate, fornendo formazione sulla sicurezza ai dipendenti e adottando best practice per la sicurezza degli endpoint, puoi ridurre il rischio di infezioni da malware e altre minacce informatiche.

Ricorda che la sicurezza informatica è una responsabilità condivisa tra l’organizzazione e i suoi dipendenti. Mantieni aggiornate le tue conoscenze sulle minacce emergenti e adotta misure per proteggere la tua azienda dalle minacce informatiche in continua evoluzione.

Fonte: https://cybersecuritynews.com/fin7-hackers-sponsored-google-ads-msix-payloads/

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto