根据网络安全公司 eSentire 发布的黑客一份报告来看，黑客组织 FIN7 在 Google Ads 传播恶意软件活动中主要冒充了包括 AnyDesk 、组织WinSCP
、传播BlackRock、恶意Asana
、软件Concur、黑客《华尔街日报》 、组织Workable 和 Google Meet 等在内的传播众多知名众品牌。

FIN7 网络犯罪团伙（又名 Carbon Spider
、恶意Sangria Tempest）自 2013 年“出道”以来一直非常活跃。软件最初，黑客该组织主要针对销售终端（PoS）设备开展攻击活动，免费模板组织窃取支付数据 。传播后来，恶意逐渐转向通过部署勒索软件 ，软件袭击大型公司以获取赎金。

多年来，FIN7 网络犯罪团伙已经多次改进其战术和恶意软件库，采用了 BIRDWATCH、Carbanak
、DICELOADER（又名 Lizar 和 Tirion） 、POWERPLANT 、POWERTRASH 和 TERMITE 等各种自定义恶意软件。

FIN7 网络犯罪团伙使用的技术手段

2023 年 12 月，服务器租用微软宣布观察到了 FIN7 网络犯罪团伙依赖谷歌广告诱导用户下载恶意的 MSIX 应用程序包 ，一旦安装就会执行一个基于 PowerShell 的内存驱动程序 POWERTRASH ，用于加载 NetSupport RAT和 Gracewire 。

微软还表示，FIN7 黑客组织是一个以金钱为“动机”的网络犯罪团伙，目前专注于开展网络入侵活动，通过盗窃、加密受害者的数据信息 ，模板下载直接向受害者索要大量钱财 ，或者通过部署勒索软件，"慢慢"讹诈受害者 。

据悉，目前已经有多个威胁攻击者滥用 MSIX 作为恶意软件的分发媒介 
，研究人员表示黑客组织都喜欢用的原因或许是其能够绕过 Microsoft Defender SmartScreen 等安全机制 。

网络安全公司 eSentire 在 2024 年 4 月观察到的网络攻击活动中发现
，用户通过谷歌广告访问假冒网站时
，会显示一个弹出消息 ，建站模板敦促他们立刻下载一个假的浏览器扩展（其中包含一个 PowerShell 脚本的 MSIX 文件）该脚本会收集系统信息 。此后 ，会联系远程服务器获取另一个编码的 PowerShell 脚本（第二个 PowerShell 有效载荷会下载和执行 NetSupport RAT）。

Malwarebytes 也观察到了类似的恶意活动 ，并将网络攻击活动“描述”成通过模仿 Asana 、BlackRock 、CNN 、Google Meet 、SAP 和《华尔街日报》等知名品牌的高防服务器恶意广告和模态窗口 ，针对企业用户，发起大规模网络攻击  。值得一提的是，Malwarebytes  并没有将这一攻击活动归咎在 FIN7 身上 。

最糟糕的是，赛门铁克指出 ，恶意软件一旦安装 ，通常会在任务调度程序中注册命令以保持持久性，源码下载即使在删除后也能持续安装新的恶意软件 。

参考文章：https://thehackernews.com/2024/05/fin7-hacker-group-leverages-malicious.html