黑客组织 FIN7 借用 Google Ads 传播恶意软件

根据网络安全公司 eSentire 发布的黑客一份报告来看 ，黑客组织 FIN7 在 Google Ads 传播恶意软件活动中主要冒充了包括 AnyDesk
、组织WinSCP、传播BlackRock 、恶意Asana 、软件Concur、黑客《华尔街日报》 、组织Workable 和 Google Meet 等在内的传播众多知名众品牌 。

FIN7 网络犯罪团伙（又名 Carbon Spider 、恶意Sangria Tempest）自 2013 年“出道”以来一直非常活跃 。软件最初，黑客该组织主要针对销售终端（PoS）设备开展攻击活动 ，服务器租用组织窃取支付数据。传播后来 ，恶意逐渐转向通过部署勒索软件，软件袭击大型公司以获取赎金。

多年来
 ，FIN7 网络犯罪团伙已经多次改进其战术和恶意软件库，采用了 BIRDWATCH 、Carbanak、DICELOADER（又名 Lizar 和 Tirion）、POWERPLANT、POWERTRASH 和 TERMITE 等各种自定义恶意软件。

FIN7 网络犯罪团伙使用的技术手段

2023 年 12 月 ，亿华云微软宣布观察到了 FIN7 网络犯罪团伙依赖谷歌广告诱导用户下载恶意的 MSIX 应用程序包 ，一旦安装就会执行一个基于 PowerShell 的内存驱动程序 POWERTRASH ，用于加载 NetSupport RAT和 Gracewire 。

微软还表示，FIN7 黑客组织是一个以金钱为“动机”的网络犯罪团伙，目前专注于开展网络入侵活动，通过盗窃
、加密受害者的数据信息，源码下载直接向受害者索要大量钱财，或者通过部署勒索软件，"慢慢"讹诈受害者。

据悉
，目前已经有多个威胁攻击者滥用 MSIX 作为恶意软件的分发媒介 ，研究人员表示黑客组织都喜欢用的原因或许是其能够绕过 Microsoft Defender SmartScreen 等安全机制。

网络安全公司 eSentire 在 2024 年 4 月观察到的网络攻击活动中发现，用户通过谷歌广告访问假冒网站时，会显示一个弹出消息 ，模板下载敦促他们立刻下载一个假的浏览器扩展（其中包含一个 PowerShell 脚本的 MSIX 文件）该脚本会收集系统信息
。此后，会联系远程服务器获取另一个编码的 PowerShell 脚本（第二个 PowerShell 有效载荷会下载和执行 NetSupport RAT） 。

Malwarebytes 也观察到了类似的恶意活动 ，并将网络攻击活动“描述”成通过模仿 Asana、BlackRock 、CNN
、Google Meet、SAP 和《华尔街日报》等知名品牌的高防服务器恶意广告和模态窗口
，针对企业用户 ，发起大规模网络攻击。值得一提的是，Malwarebytes  并没有将这一攻击活动归咎在 FIN7 身上 。

最糟糕的是，赛门铁克指出，恶意软件一旦安装 ，通常会在任务调度程序中注册命令以保持持久性 ，免费模板即使在删除后也能持续安装新的恶意软件。

参考文章：https://thehackernews.com/2024/05/fin7-hacker-group-leverages-malicious.html