BIOLOAD
Το FIN7 είναι μια ομάδα οικονομικών παραγόντων απειλής που ειδικεύονται σε επιθέσεις εναντίον επιχειρήσεων σε διάφορες περιοχές. Μία από τις αξιοσημείωτες οικογένειές τους είναι το BOOSTWRITE και οι ερευνητές στον κυβερνοχώρο αποκάλυψαν μια άλλη οικογένεια malware που μοιάζει να μοιράζεται ομοιότητες με το BOOSTWRITE πρόσφατα - η νέα απειλή ονομάζεται BIOLOAD. Το BIOLOAD εκπληρώνει το σκοπό ενός Trojan Loader - ένα κομμάτι κακόβουλου λογισμικού το οποίο προορίζεται να φορτώσει ένα επιβλαβές ωφέλιμο φορτίο και να το εκτελέσει με ασφάλεια στα κατεστραμμένα.
Συχνά, οι Trojan loaders έχουν ανταλλάξιμα ωφέλιμα φορτία, αλλά η περίπτωση του BIOLOAD είναι λίγο διαφορετική - το κακόβουλο λογισμικό είναι προσαρμοσμένο για κάθε σύστημα που μολύνει. Έχει ένα μοναδικό payload που είναι κρυπτογραφημένο και ο BIOLOAD Loader παίρνει το κλειδί αποκρυπτογράφησης χρησιμοποιώντας το όνομα του συμβιβασμένου υπολογιστή σε συνδυασμό με άλλες πληροφορίες που είναι ενσωματωμένες στο αρχείο του φορτωτή.
Μέχρι στιγμής, το FIN7 χρησιμοποιεί το BIOLOAD με μία μόνο απειλή - τον περίφημο Carbanak Banking Trojan. Είναι πιθανό ο BIOLOAD φορτωτής να μπορεί να χρησιμοποιηθεί και με άλλες οικογένειες κακόβουλων προγραμμάτων στο μέλλον, αλλά αυτή τη στιγμή δεν υπάρχουν τεκμηριωμένες χρήσεις άλλων κακόβουλων προγραμμάτων.
Το BIOLOAD φορτώνει το ενσωματωμένο ωφέλιμο φορτίο δημιουργώντας μια νέα προγραμματισμένη εργασία που έχει προγραμματιστεί να εκκινήσει το ωφέλιμο φορτίο 30 δευτερόλεπτα μετά την εκκίνηση των Windows. Το κακόβουλο λογισμικό διαθέτει επίσης βασικές ενότητες για την αποτροπή εντοπισμού σφαλμάτων και την παράκαμψη του sandbox, οι οποίες του επιτρέπουν να ανιχνεύει περιβάλλοντα που χρησιμοποιούνται για την έρευνα κακόβουλου λογισμικού και να σταματήσει τη διαδικασία επίθεσης.
Το FIN7 επέλεξε να προχωρήσει σε στοχευμένες επιθέσεις κατά τη χρήση του BIOLOAD Loader και φαίνεται ότι η ομάδα μπορεί να έχει χρησιμοποιήσει εργαλεία αναγνώρισης για να συλλέξει πληροφορίες σχετικά με τους στόχους της εκστρατείας BIOLOAD.
