– Confiando en métodos simples que han demostrado que funcionan una y otra vez, los piratas informáticos han estado propagando malware recientemente de forma masiva, utilizando temas de Windows 11 para atraer a las víctimas potenciales para que activen el código malicioso ubicado dentro de los documentos de Microsoft Word.
Los investigadores de seguridad creen que el culpable detrás del acto puede ser el grupo de delitos cibernéticos FIN7, también conocido como Carbanak y Navigator, que se especializa en robar los datos de las tarjetas de pago de los usuarios.
Método de prueba y error
Los piratas informáticos aprovecharon los rumores que surgieron en torno a los detalles de desarrollo de Microsoft del lanzamiento de Windows 11, que comenzó a principios de junio.
Los ciberdelincuentes se infiltran en los documentos de Microsoft Word con código de macro, que es básicamente un código para descargar una puerta trasera de JavaScript que permite a los atacantes entregar cualquier carga útil que deseen.
Los investigadores de la firma de seguridad cibernética Anomali analizaron los seis documentos y dijeron que las puertas traseras enviadas parecían ser variaciones de la carga útil que el grupo FIN7 había utilizado desde al menos 2018.
Los nombres utilizados en el hack parecen sugerir que la actividad probablemente tuvo lugar entre finales de junio y finales de julio, el período en que comenzaron a surgir noticias sobre Windows 11.
No está claro cómo se envió el archivo malicioso, pero generalmente se hace a través de correos electrónicos de phishing. Al abrir el documento, se mostrará Windows 11 con un texto diseñado para engañar a las posibles víctimas para que activen el contenido de la macro.
La afirmación de que el documento se creó con Windows 11 puede llevar a algunos usuarios a creer que existe un problema de compatibilidad que les impide acceder al contenido y seguir instrucciones que en realidad son comandos para descargar malware. Si lo hacen, en realidad activan y ejecutan macros VBA maliciosas que los autores colocaron en el documento.
El código está intencionalmente ofuscado de tal manera que impide que el análisis investigue, pero hay una manera de limpiarlo y dejar solo las cadenas de código que se refieren a la puerta trasera plantada.
Los investigadores de anomalías descubrieron que el VBScript incrustado se basa en algún código oculto en el documento asociado, para realizar comprobaciones y escaneos en la computadora infectada, en este caso el lenguaje.
La detección de ciertos idiomas (ruso, ucraniano, moldavo, sorabo, eslovaco, esloveno, estonio, serbio) detendrá la actividad maliciosa y eliminará la tabla con valores codificados. El código también busca el dominio CLEARMIND, que según los investigadores de Anomaly parece referirse a un proveedor de punto de venta (PoS).
Otros escaneos que hace el código incluyen:
Preferencias de idioma de registro para máquinas virtuales rusas: VMWare, VirtualBox, innotek, QEMU, Oracle, Hyper y Parallels (si se detecta una VM, se cancela el script) Memoria disponible (se detiene si tiene menos de 4 GB) RootDSE a través de LDAP
Indicación FIN7 detrás del ataque
El JavaScript utilizado está muy ofuscado y, si puede limpiarlo, revelará una puerta trasera que se parece a otras puertas traseras conectadas al grupo de ciberdelincuencia FIN7.
Existe una creencia bastante fuerte, que se basa en los siguientes factores:
La selección de proveedores de POS (Punto de venta) está en línea con las actividades anteriores de FIN7. El uso de archivos de documentos señuelo con macros de VBA también está en línea con las actividades anteriores de FIN7. FIN7 ha utilizado puertas traseras de Javascript históricamente. La infección se detiene después de detectar ruso, ucraniano o algún otro Idiomas europeos protegidos con contraseña El etiquetado típico de archivos Javascript “group=doc700&rt=0&secret=7Gjuyf39Tut383w&time=120000&uid=” sigue un patrón similar a las campañas anteriores de FIN7 FIN7 existe desde al menos 2013, pero se ha hecho conocido a mayor escala desde 2015. Varios de sus miembros fueron arrestados y sentenciados, pero los ataques y el malware continuaron asociados con el grupo incluso después de 2018, cuando algunos de sus miembros fueron arrestados.
Los piratas informáticos se centraron en robar datos de tarjetas de pago pertenecientes a clientes de varios negocios. Sus actividades en los Estados Unidos costaron más de mil millones de dólares en pérdidas al robar más de 20 millones de registros de tarjetas procesados por más de 6500 terminales POS en aproximadamente 3600 ubicaciones comerciales separadas. Entre las empresas atacadas por FIN7 estaban Chipotle Mexican Grill, Chili’s, Arby’s, Red Robin y Jason’s Deli.
