Киберпреступники из FIN7 вооружились новым вредоносом BIOLOAD

Киберпреступники из FIN7 вооружились новым вредоносом BIOLOAD

Вредонос обладает хорошей защитой от обнаружения и имеет сходство с загрузчиком BOOSTWRITE.

image

Киберпреступная группировка FIN7 вооружилась новым инструментом BIOLOAD, используемым для загрузки более актуальных версий бэкдора Carbanak. Вредонос обладает хорошей защитой от обнаружения и имеет сходство с BOOSTWRITE, другим загрузчиком в арсенале FIN7.

BIOLOAD использует технику бинарной установки, эксплуатирующую метод в Windows для поиска DLL-библиотек. Таким образом злоумышленник может повысить привилегии в системе или обеспечить персистентность.

Исследователи безопасности из компании Fortinet обнаружили вредоносную DLL-библиотеку в легитимном процессе FaceFodUninstaller.exe, реализованном в чистых установках ОС Windows, начиная с Windows 10 (1803). Злоумышленники размещают вредоносный файл WinBio.dll в папку «\System32\WinBioPlugIns», в которой находится легитимная DLL-библиотека «winbio».

Специалисты обнаружили сходство между BIOLOAD и BOOSTWRITE. Загрузчик BOOSTWRITE использует технику перехвата поиска DLL (DLL Search Order Hijacking) для загрузки собственных вредоносных DLL-библиотек в память зараженной системы, а затем загружает вектор инициализации и ключ, необходимый для дешифрования встроенных полезных нагрузок.

Исследователи также заметили некоторые различия. BIOLOAD не поддерживает множественные полезные нагрузки, а также использует энкодер XOR для расшифровки полезной нагрузки вместо шифра ChaCha. Соединение с удаленным сервером для получения ключа дешифрования также не происходит в случае с BIOLOAD, поскольку он настраивается для каждой системы жертвы и получает ключ дешифрования от ее имени.

Как предполагают эксперты, основываясь на датах компиляции вредоносного ПО и его поведении, данный загрузчик является предшественником BOOSTWRITE.

Обнаруженная вредоносная программа демонстрирует, что FIN7 активно разрабатывает инструменты для загрузки своих бэкдоров. В то время как BIOLOAD использовался для загрузки Carbanak на зараженный хост, более свежий загрузчик BOOSTWRITE использовался для загрузки инструмента удаленного доступа RDFSNIFFER для «взлома» клиентского приложения NCR Aloha Command Center и взаимодействия с системами-жертвами посредством двухфакторной аутентификации.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Комментарии для сайта Cackle