注意新恶意软件活动的“Windows 11 Alpha”

攻击者最近部署了一个恶意软件活动，该活动使用 Windows 11 主题来引诱收件人激活放置在 Microsoft Word 文档中的恶意代码。该活动背后的对手可能是 FIN7 网络犯罪集团，也称为 Carbanak 和 Navigator，专门窃取支付卡数据。

久经考验的方法

对手利用了围绕微软开发其下一个操作系统版本的细节而引起的嗡嗡声，该版本于 6 月初开始。

网络犯罪分子在 Microsoft Word 文档中添加宏代码，最终下载一个 JavaScript 后门，让攻击者可以提供他们想要的任何负载。

网络安全公司 Anomali 的研究人员分析了六份此类文件，并表示交付的后门似乎是 FIN7 组织至少自 2018 年以来常用的有效载荷的变体。

活动中使用的名称似乎表明该活动可能发生在 6 月下旬至 7 月下旬之间，即有关 Windows 11 的新闻开始定期出现的时期。

目前尚不清楚恶意文件是如何传送的，但网络钓鱼电子邮件通常是如何发生的。打开文档会显示带有文本的 Windows 11 图像，旨在诱使收件人启用宏内容。

声称该文档是使用较新的操作系统生成的，这可能会使一些用户认为存在阻止访问内容的兼容性问题，并且按照说明操作可以消除该问题。

如果用户根据指示采取行动，他们就会激活并执行威胁行为者植入文档中的恶意 VBA 宏。

代码被混淆以阻碍分析，但有一些方法可以清除多余的代码并只留下相关的字符串。

Anomali 研究人员发现，所包含的 VBScript 依赖于文档中隐藏表中编码的一些值来对受感染的计算机执行语言检查。

检测特定语言（俄语、乌克兰语、摩尔多瓦语、索比亚语、斯洛伐克语、斯洛文尼亚语、爱沙尼亚语、塞尔维亚语）会阻止恶意活动并删除带有编码值的表。

该代码还查找域 CLEARMIND，Anomali 研究人员称该域似乎指的是销售点 (PoS) 提供商。

代码进行的其他检查包括：

• Reg 俄语的关键语言偏好
• 虚拟机 – VMWare、VirtualBox、innotek、QEMU、Oracle、Hyper 和 Parallels（如果检测到 VM，脚本将被终止）
• 可用内存（如果小于 4GB 则停止）
• 通过 LDAP 检查 RootDSE

FIN7适应症

Anomali 研究人员说，JavaScript 被严重混淆，清理它会发现一个类似于与 FIN7 网络犯罪组织相关的其他后门的后门。

归因具有中等置信度，基于以下因素：

• POS 提供商的目标与之前的 FIN7 活动保持一致
• 使用带有 VBA 宏的诱饵文档文件也与之前的 FIN7 活动保持一致
• FIN7 历史上使用过 Javascript 后门
• 检测到俄语、乌克兰语或其他几种东欧语言后感染停止
• 受密码保护的文件
• 来自 Javascript 文件“group=doc700&rt=0&secret=7Gjuyf39Tut383w&time=120000&uid=”的工具标记遵循与之前的 FIN7 活动类似的模式

FIN7 至少自 2013 年以来就已存在，但自 2015 年以来就广为人知。其一些成员被捕并被判刑，但攻击和恶意软件继续被归因于该组织，甚至在 2018 年之后，该组织的几名成员被捕。

攻击者专注于窃取属于各种企业客户的支付卡数据。他们在美国的活动造成了超过 10 亿美元的损失，窃取了大约 3,600 个独立营业地点的 6,500 多个销售点终端处理的超过 2,000 万张卡记录。

FIN7 击中的公司包括 Chipotle Mexican Grill、Chili’s、Arby’s、Red Robin 和 Jason’s Deli。