Em abril de 2024, foi registrado múltiplos incidentes envolvendo o FIN7, um grupo de ameaças com motivação financeira sediado na Rússia e ativo desde 2013. Esses atores maliciosos utilizaram sites fraudulentos para se passar por marcas conhecidas, como AnyDesk, WinSCP, BlackRock, Asana, Concur, The Wall Street Journal, Workable e Google Meet.

Os usuários que visitaram os sites maliciosos por meio de anúncios patrocinados no Google receberam falsos pop-ups solicitando o download de uma extensão de navegador falsa. Esses arquivos MSIX falsos estavam assinados por “SOFTWARE SP Z O O” e “SOFTWARE BYTES LTD”, cujos certificados foram revogados.

Em um dos casos, ao extrair o arquivo MSIX, identificou-se um script PowerShell malicioso que coleta informações do sistema e baixa e executa um script do servidor C2. Este script, quando executado, realiza o download do NetSupport RAT e executa-o no sistema infectado. No segundo caso, a cadeia de infecção foi semelhante, com os usuários sendo direcionados a um site malicioso para baixar um falso instalador MSIX.

Neste caso, o FIN7 também implantou o NetSupport RAT, mas posteriormente utilizou o curl para baixar ferramentas adicionais, como csvde.exe e um arquivo zip contendo um payload Python.