One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8500489 |
| Date de publication | 2024-05-15 20:23:43 (vue: 2024-05-15 21:08:04) |
| Titre | FIN7 exploite les marques de confiance et les publicités Google pour livrer des charges utiles Malicious MSIX FIN7 Exploits Trusted Brands and Google Ads to Deliver Malicious MSIX Payloads |
| Texte | ## Instantané En avril 2024, l'unité de réponse aux menaces d'Esentire a observé plusieurs incidents impliquant FIN7, un groupe cybercriminal à motivation financière. Microsoft suit cet acteur de menace comme Sangria Tempest, [en savoir plus ici] (https://security.microsoft.com/intel-profiles/3e4a164ad64958b784649928499521808aeaa4d3565df70afc7c85eae69f74278). ## Description Ces incidents impliquaient l'utilisation de sites Web malveillants imitant des marques bien connues comme AnyDesk, WinSCP, BlackRock et Google Meet.Les utilisateurs qui ont visité ces sites via des publicités Google sponsorisées ont rencontré de faux fenêtres contextuelles les incitant à télécharger une extension de navigateur malveillante emballée sous forme de fichier MSIX.Dans un cas, le rat NetSupport a été livré via un script PowerShell malveillant extrait du fichier MSIX, collectant des informations système et téléchargeant des charges utiles du serveur de commande et de contrôle (C2). Dans un autre cas, les utilisateurs ont téléchargé un faux installateur MSIX à partir de la rencontre du site Web \ [. \] Cliquez, conduisant à l'installation de NetSupport Rat sur leurs machines.Les acteurs de la menace ont ensuite accédé à ces machines via Netsupport Rat, effectuant une reconnaissance et créant de la persistance via des tâches programmées et des charges utiles Python.La charge utile Python impliquait des opérations de décryptage pour exécuter la charge utile diceloader par injection de processus.Ces incidents soulignent la menace continue posée par FIN7, en particulier leur exploitation de noms de marque de confiance et de publicités Web trompeuses pour distribuer des logiciels malveillants. ## Analyse Microsoft Malvertising a fait les gros titres de l'OSINT au cours des derniers mois, car le nombre d'incidents a augmenté et que les acteurs de la menace continuent d'utiliser des techniques de plus en plus sophistiquées pour distribuer des logiciels malveillants et des systèmes de compromis.Un examen des rapports open-source suggère que les organisations cybercriminales sont probablement responsables de la majorité de l'activité de malvertisation car il s'agit d'une tactique rentable qui nécessite une quantité relativement faible d'efforts.De plus, il est difficile de combattre car les réseaux publicitaires légitimes ont du mal à distinguer les publicités nuisibles des dignes de confiance. Microsoft a observé [Sangria Tempest] (https://security.microsoft.com/intel-profiles/3E4A164AD64958B784649928499521808AEA4D3565DF70AFC7C85EAE69F74278) PPORT RAT et Diceloader, entre autres. En savoir plus sur [OSInt Trends in Malvertising] (https://security.microsoft.com/intel-explorer/articles/003295ff) et la tendance plus large des [acteurs de menace motivés financièrement abusant l'installateur de l'application et le format de fichiers MSIX] (HTTPS://security.microsoft.com/intel-explorer/articles/74368091). ## Détections Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: ** Diceloader ** - [* Trojan: win64 / diceloader *] (https: //www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-description?name=trojan:win64/diceloader.km!mtb& ;theatid=-2147194875) ## Recommandations MicroSoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Encouragez les utilisateurs à utiliser Microsoft Edge et d'autres navigateurs Web qui prennent en charge [Microsoft Defender SmartScreen] (https: //learn.microsoft.com/en-us/deployedge/microsoft-edge-security-smartScreen?ocid=Magicti_ta_learndoc), qui identifie et bloCKS MALICIEMS SIBTÉES, y compris les sites de phishing, les sites d'arnaque et les sites qui contiennent des exploits et hébergent des logiciels malveillants. - Allumez [Protection du réseau] (https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/enable-network-protection?view=o365-worldwide& ;ocid=Magic |
| Envoyé | Oui |
| Condensat | **diceloader** *trojan:win64/diceloader* 2024 2147194875 365/security/defender about abusing accessed action activity actor actors addresses ads advertisement alert alerts among amount analysis another antivirus anydesk app april are arrived artifacts attacker attackers automated based because behind being blackrock block blocks brand brands breach breaches broader browser browsers can case changes click clicking cloud collecting com/blog/fin7 com/en com/intel combat command components compromise connections contain continue control cost cover creating cybercriminal deceptive decryption defender deliver delivered description detect detected detection detections detects diceloader difficult distinguish distribute doesn domain domains download downloaded downloading edge edr educate effective effort employ enable encountered encourage encyclopedia endpoint endpoint/automated endpoint/configure endpoint/edr endpoint/enable endpoint/prevent equivalent esentire even evolving examination execute expected exploitation exploits explorer/articles/003295ff explorer/articles/74368091 extension extracted fake features file fin7 financially first following format from full further google group harmful has have headlines here host https://learn https://security https://www identifies immediate impact impersonating incident incidents including increasingly information injection installation installed installer investigation investigations involved involving known later leading learndoc learning legitimate let like likely link low machine machines made majority malicious malvertising malware malware: meet microsoft misusing mitigations mode months more most motivated msix mtb&threatid= multiple name=trojan:win64/diceloader names navigator netsupport network networks new non numbers observed ocid=magicti of one ones ongoing on open operations organizations osint other others packaged particularly passive payload payloads payloads#new performing persistence phishing pop posed post powershell prevent process product profiles/3e4a164ad64958b784649928499521808aea4d3565df70afc7c85eae69f74278 prompting protection protections published publisher python rapidly rat read recent recommendations recommends reconnaissance reduce reducing references relatively remediate remediation reporting requires resolve response responsible results run running sangria scam scenes scheduled script search security server services settings sight significantly sites smartscreen snapshot software sophisticated source sponsored stopping struggle suggests support surged system systems tab tactic take tamper tasks techniques tempest them these threat through tools tracks trend trends trusted trustworthy turn underscore unit unknown upon ups url us/deployedge/microsoft us/microsoft us/wdsi/threats/malware use users uses validate variants verify view=o365 visited volume web website websites well when which who winscp works worldwide&ocid=magicti your |
| Tags | Malware Tool Threat Prediction |
| Stories | |
| Notes | ★★★ |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.