BIOLOAD
FIN7 er en økonomisk motivert gruppe av trusselaktører som spesialiserer seg i angrep mot virksomheter i forskjellige regioner. En av deres bemerkelsesverdige malware-familier er BOOSTWRITE, og cybersecurity-forskere avdekket en annen malware-familie som ser ut til å dele likheter med BOOSTWRITE nylig - den nye trusselen kalles BIOLOAD. BIOLOAD oppfyller formålet med en Trojan Loader - et stykke malware som er ment å laste inn en skadelig nyttelast og utføre den på sikker kompromiss.
Ofte har trojanske lastere utskiftbare nyttelaster, men tilfellet med BIOLOAD er litt annerledes - malware er tilpasset skreddersydd for hvert system den infiserer. Den har en unik nyttelast som er kryptert, og BIOLOAD Loader får dekrypteringsnøkkelen ved å bruke den kompromitterte datamaskinens navn i kombinasjon med annen informasjon innebygd i lasterens fil.
Så langt har FIN7 brukt BIOLOAD med bare en trussel - den beryktede Carbanak Banking Trojan. Det er mulig at BIOLOAD-lasteren kan brukes sammen med andre skadelige skadefamilier i fremtiden, men for øyeblikket har det ikke vært dokumentert bruk av annen skadelig programvare.
BIOLOAD laster inn den innebygde nyttelasten ved å lage en ny planlagt oppgave som er programmert til å starte nyttelasten 30 sekunder etter at Windows har startet opp. Malware har også grunnleggende anti-debugging og sandbox evasion evolusjonsmoduler som gjør det mulig å oppdage miljøer som brukes til malware forskning, og stoppe angrepsprosessen.
FIN7 har valgt å gå for målrettede angrep når de bruker BIOLOAD Loader, og det ser ut til at gruppen kan ha brukt rekognoseringsverktøy for å samle intelligens om målene for BIOLOAD-kampanjen.
