Detección de Ataques FIN7: Grupo Vinculado a Rusia con Motivación Financiera Explotan Google Ads para Desplegar NetSupport RAT a través de Archivos de Instalador de Aplicaciones MSIX
Tabla de contenidos:
Con la digitalización global del sector financiero, las organizaciones están expuestas a riesgos crecientes en numerosos ataques cibernéticos sofisticados con fines económicos. A lo largo de abril, los investigadores de ciberseguridad han identificado un aumento en las operaciones maliciosas atribuidas al nefasto colectivo de hackers rusos conocido como FIN7, que masivamente ataca a organizaciones en todo el mundo para obtener ganancias financieras. Se ha observado a los adversarios abusando de Google Ads armados disfrazados de marcas conocidas para distribuir cargas útiles de MSIX.
Detectar los Últimos Ataques de FIN7
El aumento en los ataques motivados por fines financieros de FIN7 conduce a pérdidas financieras sustanciales, violaciones de datos y daños reputacionales para las organizaciones afectadas. El creciente alcance y sofisticación de las intrusiones destacan la importancia crítica de estrategias de ciberseguridad robustas, capacidades de detección de amenazas proactivas y la colaboración dentro de la industria para defenderse de las amenazas cibernéticas en evolución y proteger los datos sensibles.
La Plataforma SOC Prime para la defensa cibernética colectiva ofrece un conjunto de reglas Sigma seleccionadas que abordan el último aumento en los ciberataques que explotan Google Ads maliciosos para distribuir el malware NetSupport RAT. Todas las reglas son compatibles con más de 30 soluciones SIEM, EDR y Data Lake y están mapeadas al marco MITRE ATT&CK®. Para facilitar la investigación de amenazas, las detecciones se enriquecen con metadatos extensos, incluidos enlaces CTI, referencias ATT&CK y otros detalles relevantes. Simplemente pulse el Explorar Detecciones botón a continuación e investigue inmediatamente en el conjunto de detección relevante.
Los profesionales de seguridad que buscan más contenido de detección asociado con el colectivo de hackers FIN7 para analizar los ataques retrospectivamente pueden explorar el Mercado de Detección de Amenazas utilizando la etiqueta “FIN7”.
Descripción del Ataque de FIN7 Explotando Google Ads Patrocinados
A mediados de la primavera de 2024, el Equipo de Respuesta a Amenazas (TRU) de eSentire observó una serie de ciberataques atribuidos a FIN7, un grupo con fines financieros vinculado a Rusia que ha estado en el candelero en el panorama de amenazas durante más de una década.
En la última campaña, los adversarios abusan activamente de sitios web fraudulentos a través de Google Ads patrocinados que se presentan como marcas de renombre, incluidas AnyDesk, WinSCP, The Wall Street Journal y Google Meet, para distribuir instaladores de MSIX, lo que lleva a la implementación de NetSupport RAT.
La cadena de infección en uno de los incidentes observados se desencadena mediante un pop-up malicioso en el sitio web que los adversarios han armado a través de Google Ads patrocinados, atrayendo a las víctimas para descargar un complemento de navegador fraudulento. Este último parece ser un archivo MSIX. Otros sitios web operados por FIN7 y disfrazados como marcas de confianza aprovechan URLScan. El archivo MSIX contiene un script PowerShell destinado a recopilar información del sistema y establecer comunicación con un servidor C2 para obtener otro script PowerShell codificado. Este último se utiliza para descargar y ejecutar el NetSupport RAT desde el servidor remoto controlado por los adversarios.
La cadena de infección en el segundo escenario refleja el primero. El sitio web armado meet-go[.]click atrae a los usuarios a descargar un instalador MeetGo MSIX fraudulento, que unas horas después entrega NetSupport RAT en el dispositivo comprometido. Posteriormente, los adversarios establecen una conexión con la máquina a través de NetSupport RAT. Los hackers logran persistencia utilizando tareas programadas y continúan con la infección al propagar otra cepa maliciosa rastreada como DiceLoader mediante un script de Python.
Para mitigar los riesgos de ataque de FIN7, los defensores recomiendan mantenerse siempre vigilantes al hacer clic en Google Ads, confiar en fuentes verificadas para descargas de software y llevar a cabo programas de concienciación sobre phishing para empleados en toda la organización.
Los ciberataques en los que los hackers arman sitios web engañosos que se hacen pasar por marcas de confianza para obtener ganancias financieras plantean desafíos a las organizaciones debido a su creciente sofisticación y extensos kits de herramientas adversarias, lo que subraya la necesidad de una ultra-respuesta y la adopción de estrategias de ciberseguridad proactivas. Al aprovechar Attack Detective, los equipos de seguridad pueden habilitar la orquestación inteligente de datos y automatizar las capacidades de búsqueda de amenazas para minimizar los riesgos de posibles intrusiones en el menor tiempo posible mientras maximizan las inversiones en seguridad.
