Bioload
FIN7 è un gruppo di attori della minaccia motivati finanziariamente, specializzati in attacchi contro aziende in diverse regioni. Una delle loro famiglie di malware di spicco è BOOSTWRITE e i ricercatori di cybersecurity hanno scoperto recentemente un'altra famiglia di malware che sembra condividere somiglianze con BOOSTWRITE: la nuova minaccia è soprannominata BIOLOAD. BIOLOAD soddisfa lo scopo di un Trojan Loader - un pezzo di malware che ha lo scopo di caricare un payload dannoso ed eseguirlo in modo sicuro sui sistemi operativi compromessi.
Spesso i caricatori di trojan hanno payload intercambiabili, ma il caso di BIOLOAD è un po 'diverso: il malware è personalizzato per ogni sistema che infetta. Trasporta un payload univoco crittografato e BIOLOAD Loader ottiene la chiave di decrittografia utilizzando il nome del computer infetto in combinazione con altre informazioni incorporate nel file del caricatore.
Finora, FIN7 ha utilizzato BIOLOAD con una sola minaccia: il famigerato Trojan bancario Carbanak . È possibile che il caricatore BIOLOAD possa essere utilizzato con altre famiglie di malware in futuro, ma al momento non sono stati documentati usi di altri malware.
BIOLOAD carica il payload incorporato creando una nuova attività pianificata che è programmata per avviare il payload 30 secondi dopo l'avvio di Windows. Il malware dispone inoltre di moduli anti-debug e di evasione sandbox di base che consentono di rilevare ambienti utilizzati per la ricerca di malware e arrestare il processo di attacco.
FIN7 ha optato per attacchi mirati quando utilizza il caricatore BIOLOAD e sembra che il gruppo abbia usato strumenti di ricognizione per raccogliere informazioni sugli obiettivi della campagna BIOLOAD.
