Виявлено нову кампанію кіберзлочинної групи FIN7 (Carbanak), яка продовжує атакувати ресторанну та готельну індустрію, попри арешти ключових учасників. Хакери використовують витончені методи соціальної інженерії та обфускації, щоб обходити системи безпеки та викрадати фінансові дані.

Що відомо? Атака розпочинається з фішингового документа Word, наприклад, “new questioner” або “dinners.doc”, захищеного паролем, таким як “goodmorning”. Документ використовує логотип легітимного VPN-інструменту InvinciBull, щоб переконати жертву увімкнути макроси. Після активації макрос запускає обфускований JavaScript, який записується у файл error.txt у тимчасовій папці. Цей код підключається до командного сервера (C2) за адресами, що імітують легітимні домени, наприклад, hxxps://bing-cdn[.]com або hxxps://googleapi-cdn[.]com. Для обходу EDR-систем хакери копіюють wscript.exe, перейменовуючи його на mses.exe, що ускладнює виявлення.

Ця кампанія націлена на мережі ресторанів і готелів, подібно до попередніх атак на Red Robin і Chili’s, демонструючи високу активність FIN7.

Як захиститися?

-Ніколи не вмикайте макроси у підозрілих документах, навіть якщо вони виглядають надійними.
-Перевірте журнали мережі на підключення до сумнівних доменів, таких як bing-cdn[.]com.
-Використовуйте інструменти, як Morphisec AMTD, для захисту від атак у пам’яті.
-Увімкніть двофакторну автентифікацію (2FA) для всіх облікових записів.
-Навчайте співробітників розпізнавати фішингові листи та методи соціальної інженерії.

Цей інцидент підтверджує: FIN7 залишається серйозною загрозою, використовуючи складні методи для обходу захисту. Будьте пильними та захищайте свої системи!