BIOLOAD
FIN7 is een financieel gemotiveerde groep bedreigingsactoren die gespecialiseerd zijn in aanvallen op bedrijven in verschillende regio's. Een van hun opmerkelijke malwarefamilies is BOOSTWRITE, en cybersecurity-onderzoekers hebben een andere malwarefamilie ontdekt die onlangs overeenkomsten lijkt te delen met BOOSTWRITE - de nieuwe dreiging wordt BIOLOAD genoemd. BIOLOAD voldoet aan het doel van een Trojan Loader - een stukje malware dat bedoeld is om een schadelijke lading te laden en het veilig op de besmette hos uit te voeren.
Vaak hebben Trojan-laders uitwisselbare payloads, maar het geval van BIOLOAD is een beetje anders - de malware is op maat gemaakt voor elk systeem dat het infecteert. Het heeft een unieke payload die is gecodeerd en de BIOLOAD Loader krijgt de decoderingssleutel door de naam van de gecompromitteerde computer te gebruiken in combinatie met andere informatie die is ingesloten in het bestand van de lader.
Tot nu toe heeft FIN7 BIOLOAD gebruikt met slechts één bedreiging - de beruchte Trojan Carbanak Banking. Het is mogelijk dat de BIOLOAD-lader in de toekomst met andere malwarefamilies wordt gebruikt, maar op dit moment is er geen gedocumenteerd gebruik van andere malware.
BIOLOAD laadt de ingesloten payload door een nieuwe geplande taak te maken die is geprogrammeerd om de payload 30 seconden na het opstarten van Windows te starten. De malware heeft ook basismodules voor foutopsporing en sandbox-ontwijking waarmee het omgevingen kan detecteren die worden gebruikt voor malware-onderzoek en het aanvalsproces kan stoppen.
FIN7 heeft gekozen voor gerichte aanvallen bij het gebruik van de BIOLOAD Loader en het lijkt erop dat de groep verkenningshulpmiddelen heeft gebruikt om informatie te verzamelen over de doelen van de BIOLOAD-campagne.
