BIOLOAD

O FIN7 é um grupo de atores de ameaças motivado financeiramente, especializado em ataques a empresas em diferentes regiões. Uma de suas famílias notáveis de malware é o BOOSTWRITE, e os pesquisadores de segurança cibernética descobriram outra família de malware que parece compartilhar similaridades com o BOOSTWRITE recentemente - a nova ameaça é chamada de BIOLOAD. O BIOLOAD cumpre o objetivo de um Trojan Loader - um malware que deve carregar uma carga útil prejudicial e executá-la com segurança nos hosts comprometidos.

Freqüentemente, os Trojans carregadores têm cargas intercambiáveis, mas o caso do BIOLOAD é um pouco diferente - o malware é personalizado para cada sistema infectado. Ele carrega uma carga útil única que é criptografada e o BIOLOAD Loader obtém a chave de descriptografia usando o nome do computador comprometido em combinação com outras informações incorporadas no arquivo do carregador.

Até agora, o FIN7 usa o BIOLOAD com apenas uma ameaça - o infame banking Trojan Carbanak. É possível que o carregador BIOLOAD possa ser usado com outras famílias de malware no futuro, mas, no momento, não houve nenhum uso documentado de outro malware.

O Ameaçador Carregador BIOLOAD é Utilizado ao Lado do Trojan Carbanak

O BIOLOAD carrega a carga útil incorporada criando uma nova tarefa agendada programada para iniciar a carga útil 30 segundos após a inicialização do Windows. O malware também possui módulos básicos de anti-depuração e evasão de sandbox que permitem detectar ambientes usados na pesquisa de malware e interromper o processo de ataque.

O FIN7 optou por ataques direcionados ao usar o BIOLOAD Loader, e parece que o grupo pode ter usado ferramentas de reconhecimento para reunir informações sobre os alvos da campanha do BIOLOAD.