Эксперты Flashpoint обнаружили новые атаки группировки Fin7, которая вернулась к активным действиям после ареста нескольких ее участников. Злоумышленники используют два новых зловреда и панель администратора, которые помогают им красть ценные данные, практически не оставляя следов.

Американские полицейские задержали трех граждан Украины — членов Fin7 в августе прошлого года. Правоохранители обвинили их в похищении платежной информации у клиентов более 100 компаний в нескольких странах. Группировка применяет бесфайловые зловреды, чтобы атаковать рестораны, отели, игорные дома и другие заведения.

Как сообщили специалисты, нынешние атаки Fin7 продолжают кампании, стартовавшие еще в январе 2018 года. Они построены на вредоносных документах, которые распространяются через email-рассылки. Эксперты отмечают, что составители писем учитывают специфику отраслей, в которых работают их жертвы, и всячески подталкивают их к открытию вложения. Полезную нагрузку составляют две вредоносные программы — SQLRat и DNSBot.

Первый файл запускается через форму Visual Basic, встроенную в документ-приманку. Для успешной атаки жертва должна кликнуть по картинке, в которую и встроен вредоносный модуль. Он запускает обфусцированный JavaScript-сценарий и загружает на компьютер дополнительные файлы.

Далее зловред выполняет серию SQL-скриптов, которые и обеспечили ему название. Эти сценарии связывают компьютер с сервером Fin7, позволяя провести необходимые действия с зараженной машиной, а потом удалить следы вторжения.

Второй тип полезной нагрузки, DNSBot, выполняет функции бэкдора. С его помощью преступники отправляют команды компьютерам жертв и получают с них необходимые данные. Вся коммуникация происходит по протоколу DNS, но эксперты нашли в коде возможность перейти на защищенные каналы HTTP или SSL.

Для управления текущими кампаниями преступники используют еще одну новинку — панель администратора Astra, построенную на базе Windows-сервера с применением Microsoft SQL. Эта написанная на PHP консоль позволяет быстро устанавливать скрипты на компьютеры жертв.

Специалисты рекомендуют пользователям проверить Планировщик Windows — зловреды создают под себя две ежедневные задачи, закрепляясь таким образом на зараженной машине. Кроме того, для усиления защиты стоит настроить свое антивирусное решение на регулярное сканирование папок %appdata%\Roaming\Microsoft\Templates\ и %appdata%\local\Storage\.

Категории: Вредоносные программы, Спам, Хакеры