BIOLOAD
FIN7 er en økonomisk motiveret gruppe af trusselsaktører, der specialiserer sig i angreb mod virksomheder i forskellige regioner. En af deres bemærkelsesværdige malware-familier er BOOSTWRITE, og cybersecurity-forskere afslørede en anden malware-familie, der ser ud til at dele ligheder med BOOSTWRITE for nylig - den nye trussel kaldes BIOLOAD. BIOLOAD opfylder formålet med en Trojan Loader - et stykke malware, der er beregnet til at indlæse en skadelig nyttelast og udføre den på sikkert kompromis.
Ofte har trojanske læssere udskiftelige nyttelast, men BIOLOAD's tilfælde er en smule anderledes - malware er skræddersyet til alle systemer, den inficerer. Det bærer en unik nyttelast, der er krypteret, og BIOLOAD Loader får dekrypteringsnøglen ved hjælp af den kompromitterede computers navn i kombination med anden information integreret i loaderens fil.
Indtil videre har FIN7 brugt BIOLOAD med kun én trussel - den berygtede Carbanak Banking Trojan. Det er muligt, at BIOLOAD-loader kan bruges sammen med andre malware-familier i fremtiden, men i øjeblikket har der ikke været nogen dokumenteret anvendelse af anden malware.
BIOLOAD indlæser den indlejrede nyttelast ved at oprette en ny planlagt opgave, der er programmeret til at starte nyttelasten 30 sekunder efter, at Windows har startet op. Malware har også basale modul-debugging og sandbox-unddragelsesmoduler, der gør det muligt at registrere miljøer, der bruges til malware-forskning, og stoppe angrebsprocessen.
FIN7 har valgt at gå til målrettede angreb, når de bruger BIOLOAD Loader, og det ser ud til, at gruppen måske har brugt rekognoseringsværktøjer til at indsamle efterretninger om målene for BIOLOAD-kampagnen.
