Команда Malwarebytes Threat Intelligence в конце июня обнаружила вредоносную спам-кампанию, которую они приписывают APT-группе FIN7.
В ходе анализа специалисты Malwarebytes выяснили, что вредоносная программа, используемая FIN7, представляет собой очередную переработку JSSLoader с расширенными возможностями, а также новыми функциями, включающими эксфильтрацию данных. Основываясь на последних собранных XLL-образцах, Malwarebytes показывает, что XLL-образцы больше не используются просто как загрузчики, но вместо этого они могут содержать внутри себя полную версию JSSLoader. Похоже, что FIN7 меняет направление развития этого семейства вредоносных программ, используя новые встроенные полезные нагрузки и улучшая обфускацию. Добавленные команды показывают, что JSSLoader активно развивается. Хотя JSSLoader по-прежнему работает в основном как загрузчик и запуск других модулей, его возможности в этой области постоянно расширяются.
Indicators of Compromise
SHA256
- 35f5c781d61d398ce47a8881228346a81afb4915bf083518bf2b4cc8d6a2685b
- 410cd107dfd37752936bd20d022ea614cd373aa9d37db255f65dc434e653236a
- 7a17ef218eebfdd4d3e70add616adcd5b78105becd6616c88b79b261d1a78fdf
- 7a234d1a2415834290a3a9c7274aadb7253dcfe24edb10b22f1a4a33fd027a08
- b08e713196b712c42da2df9da7836d270306065fbf6d4720f25d80e4104daf38
- bf1371e2d79115fc7cfc89266cd7a59c02b04a74e1246435392eb5e20c661d8f
- cc2171d14d0d3c4d117155185f7c911f781aac15b57adef6c32eb0149d5da3ba
Technical report