BIOLOAD
FIN7 jest grupą motywowanych finansowo podmiotów, które specjalizują się w atakach na firmy w różnych regionach. Jedną z ich godnych uwagi rodzin szkodliwego oprogramowania jest BOOSTWRITE, a badacze cyberbezpieczeństwa odkryli kolejną rodzinę złośliwego oprogramowania, która wydaje się mieć podobne podobieństwa do BOOSTWRITE - nowe zagrożenie nazwano BIOLOAD. BIOLOAD spełnia funkcję Trojana Loadera - szkodliwego oprogramowania, które ma za zadanie załadować szkodliwy ładunek i wykonać go bezpiecznie na zainfekowanym hos.
Często trojany ładujące mają wymienne ładunki, ale przypadek BIOLOAD jest nieco inny - złośliwe oprogramowanie jest dostosowane do każdego zainfekowanego systemu. Niesie unikalny ładunek, który jest zaszyfrowany, a moduł ładujący BIOLOAD uzyskuje klucz deszyfrujący, używając nazwy zainfekowanego komputera w połączeniu z innymi informacjami osadzonymi w pliku modułu ładującego.
Do tej pory FIN7 używa BIOLOAD tylko z jednym zagrożeniem - niesławnym trojanem bankowym Carbanak . Możliwe, że moduł ładujący BIOLOAD będzie mógł być używany z innymi rodzinami złośliwego oprogramowania w przyszłości, ale w tej chwili nie było udokumentowanych zastosowań innego złośliwego oprogramowania.
BIOLOAD ładuje osadzony ładunek, tworząc nowe zaplanowane zadanie, które jest zaprogramowane do uruchomienia ładunku 30 sekund po uruchomieniu systemu Windows. Szkodliwe oprogramowanie ma również podstawowe moduły zapobiegające debugowaniu i unikaniu piaskownicy, które umożliwiają wykrywanie środowisk wykorzystywanych do badania złośliwego oprogramowania i zatrzymywanie procesu ataku.
FIN7 zdecydował się na ukierunkowane ataki podczas korzystania z modułu ładującego BIOLOAD i wygląda na to, że grupa mogła użyć narzędzi rozpoznawczych do zebrania danych wywiadowczych na temat celów kampanii BIOLOAD.
