-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}
Nueva actividad del Grupo FIN7 utilizando Javascript
- Publicado: 15/02/2021
- Importancia: Media
- Recursos afectados
En esta ocasión la campaña inicia a través de un documento de ofimática con extensión .XLS con una macro embebida que dropea el archivo JavaScript. Al realizar la primera revisión de este archivo, se evidencia que contiene código de relleno, normalmente utilizado por los ciberdelincuentes para hacer más compleja la investigación de la muestra encontrada. Una vez ejecutado el archivo JS, inicia a través de la consola de comandos CMD el proceso whoami.exe para recopilar información del usuario, información de grupo, atributos e incluso información de los privilegios del usuario en el sistema.
Este es un breve resumen realizado por el equipo del Csirt Financiero, para conocer el análisis, correlación, estrategias de mitigación y seguimiento a la alerta, afíliese al Csirt Financiero Asobancaria y contáctenos [email protected].
- Etiquetas