Хакерская группировка FIN7 освоила новые техники заражения вредоносным ПО

Хакеры переключились на использование файлов CMD и усовершенствовали свой бэкдор HALFBAKED.

Хакерская группировка FIN7 добавила в свой арсенал новые техники доставки и обфускации вредоносного ПО, сообщают
исследователи безопасности из компании ICEBRG.

С начала 2017 года FIN7, известная также как Anunak и Carbanak, начала распространять вредоносное ПО через файлы LNK, встроенные в документы Word, используя OLE-технологию (Object Linking and Embedding). В ходе атак использовался метод беcфайлового заражения, при котором файлы не записываются на диск.

Теперь хакеры переключились на использование файлов CMD вместо LNK, пытаясь, скорее всего, избежать обнаружения. CMD-файл вписывает скрипт JScript в документ «tt.txt» и помещает его в домашней папке текущего пользователя.

Затем скрипт копирует себя в «pp.txt» в той же папке, после чего запускает WScript, используя механизм JScript в файле. Код JScript затем считывает из файла «pp.txt» все данные после первого символа для каждой строки, пропуская только код самого CMD в первых четырех строках. Также как и в случае с файлами LNK, использование встроенных CMD-файлов с помощью OLE приводит к выполнению кода на устройстве жертвы.

Исследователи также выявили серию изменений в методе обфускации эксклюзивного бэкдора HALFBAKED, который в течение прошлого года был неоднократно модифицирован. До сих пор в HALFBAKED использовалась кодировка base64, хранящаяся в переменной массива строк, под названием «srcTxt». Теперь название обфусцируется, а сама строка разбивается на несколько строк внутри массива.

Помимо этого, бэкдор теперь включает встроенную команду «getNK2», предназначенную для извлечения списка автозаполнения в почтовом клиенте Microsoft Outlook. По всей видимости, команда названа по аналогии с файлом NK2, содержащим список автозаполнения в Microsoft Outlook 2007 и 2010. Это может указывать на желание злоумышленников получить новые объекты для фишинговых рассылок в целевой организации, отмечают исследователи.

Ранее хакерской группировке FIN7 удалось
похитить более 1 млрд рублей у банковских организаций и платежных систем в России и в странах постсоветскогопространства.

JScript – скриптовый язык программирования компании Microsoft, являющийся реализацией стандарта ECMAScript.

Wscript.exe – исполняемый файл для Windows с графическим интерфейсом.

OLE – технология связывания и внедрения объектов в другие документы и объекты, разработанная компанией Microsoft.

Хакерская группировка FIN7 освоила новые техники заражения вредоносным ПО
Подписывайтесь на канал “SecurityLab” в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.