به گزارش کارگروه حملات سایبری سایبربان؛ کمپین های فیشینگ هدف دار اخیر با استفاده از اسناد ورد ویندوز 11 ( با تم آلفا ) و ماکروهای ویژوال بیسیک، پی لود های مخربی شامل ایمپلنت جاوا اسکریپت را علیه ارائه دهندگان سرویس نقطه فروش آمریکا مورد استفاده قرار می دهند.
طبق گفته شرکت امنیت سایبری Anomali ( اِنامِلی ) این حملات که بین ژوئن تا اواخر جولای 2021 در جریان بود، به گروه هکری FIN7 ارتباط داده شده است.
ظاهرا هدف FIN7 از انجام این کار، انتقال گونه ای از درپشتی جاوا اسکریپت بود. این درپشتی دست کم از سال 2018 مورد استفاده FIN7 قرار دارد.
این گروه اروپای شرقی فعالیت خود را از اواسط 2015 آغاز کرد و از آن زمان، مراکز مهمان نوازی و گردشگری، قماربازی و رستوران های آمریکا را با هدف جمع آوری اطلاعات مالی مانند شماره کارت بانکی ، مورد هدف قرار داد. این اطلاعات سپس در فروشگاه های زیرزمینی خرید و فروش می شد.
از آن جایی که چندین عضو FIN7 دستگیر شدند، فعالیت های این گروه به گروه دیگری به نام Carbanak نیز ارتباط داده می شود.
دلیل این ارتباط، TTP های مشابه این دو گروه می باشد. این در حالی است که FIN7 بر روی بخش های فروشگاهی و مهمان نوازی متمرکز بود اما Carbanak موسسات بانکی را مورد هدف قرار می دهد.
مرحله آلوده سازی این کمپین با با یک سند آلوده ورد مایکروسافت آغاز می شود که شامل تصویری ( به عنوان دام ) می باشد که ظاهرا در ویندوز 11 آلفا ساخته شده است. از کاربران خواسته می شود تا برای ادامه فعالیت از ماکروها استفاده کند.
