FIN7 атакует ритейлеров зловредными .doc, якобы созданными на Windows 11
Главная » Новости
Ландшафт киберугроз 2025: реальные атаки, тренды и практические выводыКиберугрозы становятся сложнее, а человекоуправляемые атаки остаются одним из ключевых рисков для бизнеса. В новом отчете — актуальные тренды и наиболее критичные сценарии. Ключевые инсайты обсудим на вебинаре: какие угрозы сегодня определяют ландшафт ИБ и как повысить устойчивость бизнеса. Участвуйте онлайн или смотрите в записи — она будет доступна всем зарегистрированным.→ Зарегистрироваться на вебинар
Реклама, 18+. АО «Лаборатория Касперского», ИНН 7713140469

FIN7 атакует ритейлеров зловредными .doc, якобы созданными на Windows 11

Татьяна Никитина 03 Сентября 2021 - 17:28
...
FIN7 атакует ритейлеров зловредными .doc, якобы созданными на Windows 11

Автором вредоносных рассылок, нацеленных на клиентов поставщика PoS-терминалов Clearmind Technology, вероятно, является криминальная группировка FIN7. К такому выводу пришли в Anomali, изучив содержимое вложений в письма злоумышленников с рекламой Windows 11 Alpha.

Судя по именам зловредных файлов, их рассылка стартовала в конце июня и продолжалась весь июль. Конечной целью атакующих являлась установка JavaScript-бэкдора, позволяющего красть финансовую информацию.

При открытии документа Microsoft Word, якобы призванного продемонстрировать возможности Windows 11, пользователю предлагалось для просмотра включить активный контент. Это действие запускало сильно обфусцированный макрос, загружающий на машину вредоносный JavaScript — вариант бэкдора, который FIN7 использует как минимум с 2018 года.

 

До подключения к своим серверам VBA-загрузчик извлекает из камуфляжного документа шифрованные списки и, руководствуясь ими, проводит ряд проверок: 

  • ищет имя домена CLEARMIND (связь с PoS-провайдером американских рителейров и владельцев отелей);
  • пытается определить язык, которым пользуется владелец компьютера;
  • ищет признаки виртуального окружения; 
  • удостоверяется в наличии приемлемого для работы объема памяти (не менее 4 Гбайт); 
  • через LDAP ищет объект RootDSE, с помощью которого можно получить имя домена в каталоге Active Directory, к которому привязан данный компьютер.

Если результаты проверок удовлетворительны, в папку временных файлов загружается word_data.js, также заполненный мусорными данными — для маскировки полезной нагрузки. установки JavaScript-бэкдора не происходит в тех случаях, когда обнаружен какой-либо язык из стоплиста (русский, украинский, молдавский, эстонский, сербский, серболужицкий, словацкий, словенский) или присутствие виртуальной машины (имена VMWare, VirtualBox, innotek, QEMU, Oracle, Hyper, Parallels).

Криминальная группировка FIN7, она же Carbanak, действует в интернете как минимум с середины 2015 года и до сих пор активна, несмотря на аресты участников. Вначале она атаковала только банки, но со временем стала также обращать внимание на организации, использующие PoS-оборудование.

Следующая главная новость »
AM LiveРоссийские платформы для обмена файлами: что реально работает?
Регистрируйтесь на эфир!

Апгрейд до Windows 11 обрушил производительность SSD, но решение нашлось
Екатерина Быстрова 20 Апреля 2026 - 08:50
Windows Ошибки конфигурации программ Домашние пользователиКорпорации Microsoft
Апгрейд до Windows 11 обрушил производительность SSD, но решение нашлось

Удивительно, но обновление с Windows 10 до Windows 11 может принести не только новые функции и актуальные патчи, но и неприятные сюрпризы (сарказм). Один из таких случаев недавно обсуждали в соцсетях: после апгрейда системы у пользователя резко просела производительность SSD.

Речь шла об NVMe-накопителе Samsung 970 Evo. После перехода на Windows 11 пользователь решил прогнать диск через CrystalDiskMark и обнаружил, что скорости последовательного чтения и записи упали до 897 МБ/с и 859 МБ/с соответственно.

Для сравнения: сама Samsung заявляет для этой модели до 3400 МБ/с на чтение и до 2500 МБ/с на запись. К счастью, проблема оказалась решаемой. После обновления драйвера накопитель буквально ожил: скорость последовательного чтения выросла более чем в четыре раза, а записи — почти втрое.

Пользователь поделился этим наблюдением, чтобы предупредить остальных: после перехода с Windows 10 на Windows 11 стоит не полениться и проверить, всё ли работает как надо.

 

Что интересно, случайные операции чтения и записи почти не изменились. Но даже при таком раскладе просадка последовательной производительности вполне может сказаться на общем ощущении от системы, особенно если речь идёт о загрузке файлов, установке приложений и общей отзывчивости десктопа под нагрузкой.

Отдельно это актуально для владельцев накопителей Samsung. Если используется фирменное приложение Magician, лучше убедиться, что установлена его свежая версия: такие обновления уже не раз устраняли серьёзные проблемы после перехода на новые версии Windows.

AM LiveРоссийские платформы для обмена файлами: что реально работает?
Регистрируйтесь на эфир!
Хакеры парализовали автомобили клиентов охранной системы Delta
Новость
Хакеры парализовали автомобили клиентов охранной системы Del...
Security Vision добавила в ранжирование уязвимостей сведения ФСТЭК России
Новость
Security Vision добавила в ранжирование уязвимостей сведения...
Исследователи взломали защиту Apple Intelligence через инъекцию промпта
Новость
Исследователи взломали защиту Apple Intelligence через инъек...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2026. Все права защищены.