FIN7這個金融網絡犯罪團伙又回來了，他們利用以新版本的Windows為主題的Word文檔進行攻擊，其中還附加了惡意的javascript腳本。

　　安全人員觀察到該團伙在最近的一次攻擊活動中，利用了六個不同的文件，都提到了 Windows 11 Alph這個微軟即將推出的Windows 11操作系統(tǒng)的內部預覽版本。

　　6月下旬，Windows 11 Alpha被發(fā)布到了該計算機巨頭的開發(fā)者渠道中，它在技術人員中引起了很大的轟動，因為它提供了Windows11預覽版。同時，官方在今年秋季才會正式推出Windows 11正式版。

　　FIN7的攻擊者們希望利用這一點，通過電子郵件將該主題的文件提供給位于加州的銷售點供應商Clearmind以及其他目標，所有的這些文件都帶有惡意的Visual Basic（VBA）宏。

　　感染鏈是從一個帶有誘惑性圖像的微軟Word文檔開始的，它告訴讀者它是用Windows 11 Alpha制作的，該圖片中的內容要求用戶啟用編輯以查看更多內容。

　　一旦編輯被啟用，就會執(zhí)行一個VBA宏，從。doc文件內的一個隱藏表格中獲取編碼值，并用一個XOR鍵對其進行解密。同時將創(chuàng)建一個腳本，對目標進行各種信息的檢查。

　　它首先檢查目標系統(tǒng)的語言，如果發(fā)現(xiàn)是俄語、烏克蘭語或其他任何的東歐語言，腳本將終止運行。

　　該腳本還會檢查是否存在虛擬機，以確保它沒有在沙盒環(huán)境中被運行分析，如果發(fā)現(xiàn)了，將終止文件的運行。然后，它會查看目標是否在銷售點（PoS）服務提供商的域名clearmind.com上。如果是，它將繼續(xù)進行檢查。

　　Clearmind域名這個攻擊目標很符合FIN7的操作方式。作為一家位于加州的零售和酒店業(yè)PoS技術供應商，如果感染成功了，那么該集團將會獲得大量的支付卡數據，隨后在地下市場上出售這些信息。

　　研究人員指出，如果這個檢查結果符合攻擊條件，該腳本會將一個名為 “word_data.js ”的JavaScript文件丟入TEMP文件夾，該文件一旦被解析運行，它就會變成FIN7的JavaScript后門，該組織自2018年以來就一直在采用該技術。從那里，F(xiàn)IN7就可以進一步滲透到受害者的機器中，竊取數據并進行網絡偵察，然后進行橫向移動。

　　FIN7（又名Carbanak Group或Navigator Group）是一個著名的威脅攻擊組織，至少從2015年開始就一直在作案。該團伙通常會使用帶有惡意軟件的網絡釣魚文件攻擊受害者，然后滲透到系統(tǒng)中，竊取銀行卡數據并進行出售。該團伙一直在調整新的惡意軟件庫，它同時還針對休閑餐廳、賭場和酒店的PoS系統(tǒng)進行攻擊。自2020年以來，該團伙還增加了勒索軟件和數據泄露攻擊，利用ZoomInfo服務來根據收入情況選擇目標進行攻擊。

　　目前該集團已經引起了美國司法部的注意，美國司法部認為FIN7竊取了超過1500萬條支付卡記錄，造成了超過10億美元的損失。據司法部稱，僅在美國，該組織就破壞了47個州和哥倫比亞特區(qū)的組織網絡，司法部在6月以盜竊支付卡的罪名判處一名攻擊者7年監(jiān)禁和250萬美元罰款，其他人員的逮捕和定罪同樣也在困擾著政府。

　　然而，嚴格的法律并沒有使該組織停止攻擊。一個月后，它又回來了，以涉及杰克-丹尼爾斯威士忌的酒業(yè)公司的法律投訴為誘餌，成功地攻擊了多家律師事務所。

　　FIN7是最臭名昭著的網絡金融犯罪組織之一，因為他們通過眾多技術和攻擊面竊取了大量的敏感數據。盡管政府在全力的逮捕和判刑，包括所謂的更高級別的成員，目前該集團仍然像以前一樣活躍。美國檢察官認為該集團人數約為70人，這意味著該集團很可能會彌補人員上的損失，因為可能會有其他的外部人員加入。