Siber güvenlik araştırmacıları, yaklaşmakta olan Windows 11 ile ilgili meraktan yararlanmaya çalışan yeni bir kötü amaçlı yazılım dolandırıcılığı tespit etti. Güvenlik şirketi Anomali'deki analistler, tüm kullanıcıları kandıran ve daha sonra saldırgan tarafından herhangi bir kötü amaçlı yükleme için kullanılabilecek bir JavaScript arka kapısı indirmeye zorlayan altı makro kodlu, Windows 11 konulu Microsoft Word belgesini inceledi.
Anomali, arka kapının FIN7 olarak bilinen Doğu Avrupa tehdit grubu tarafından yaygın olarak kullanılan ve işletmelere zaten bir milyar dolara mal olduğu düşünülen bir arka kapıya benzediğine inanıyor. Şirket açıklamasında "bu aktivite için saldırı vektörünü kesin olarak belirleyemesek de, analizimiz ciddi bir tehlikeye işaret ediyor. Saldırı vektörünün bir e-posta kimlik avı veya hedef odaklı kimlik avı kampanyası olduğunu düşünüyoruz" dedi.
Rapora göre, bahsi geçen dosya açıldıktan sonra, belgenin daha yeni işletim sistemiyle oluşturulduğu ve bir uyumluluk sorunu nedeniyle görüntülenemediğini öne süren metin içeren Windows 11 görüntüleri gösteriliyor.
Bu aslında, makro içeriği etkinleştirmek ve kötü niyetli belgenin arka kapıyı yüklemesine yardımcı olmak için listelenen talimatları izlemeleri için kullanıcıları kandırmayı hedefleyen bir hile.
İlginç bir şekilde, komut dosyası, kurbanın bilgisayarının Rusça veya bir avuç başka Doğu Avrupa dili kullandığını veya 4 GB'tan daha az kullanılabilir belleğe sahip olduğunu veya fiziksel bir bilgisayar yerine sanal bir makine (VM) olduğunu tespit ederse kendi kendini imha edecek şekilde tasarlanmış.
Anomali, saldırının özellikle ABD merkezli Clearmind satış noktası (POS) sağlayıcısını hedef almak için tasarlandığına inanıyor. Bu, saldırıyı geçmişte de Clearmind'a saldıran FIN7 grubuna bağlıyor.
Araştırmacılar, "perakende ve konaklama sektörü için Kaliforniya merkezli bir POS teknolojisi sağlayıcısı olarak, başarılı bir etkileme, grubun ödeme kartı verilerini almasına ve daha sonra bilgileri çevrimiçi pazarlarda satmasına olanak tanıyacaktır" diyor.