BOOSTWRITE

Existem grupos de hackers que estão envolvidos estritamente no ativismo; há outros, que atendem a vários governos e alguns atos de pura ganância. Este último é o caso do grupo chinês de hackers Carbanak Group, que também é conhecido como FIN7. Esse grupo de hackers se tornou um nome conhecido desde o lançamento do Trojan Carbanak. Essa ameaça conseguiu se tornar um dos Trojans bancários mais famosos já criados e deu o nome ao grupo de hackers responsável por ela. O Carbanak Group é conhecido por atingir principalmente empresas envolvidas nos setores de restaurante, hotelaria e varejo. Parece que a maioria de suas vítimas está localizada nos Estados Unidos. O Carbanak Group está desenvolvendo novas ferramentas, e duas delas foram vistas na natureza recentemente. É provável que essas novas ferramentas de hackers possam ser utilizadas em campanhas direcionadas ao processamento de pagamentos.

Serve para Plantar Malware Adicional

Uma das novas ferramentas mencionadas anteriormente é chamada BOOSTWRITE. Este é um carregador de Trojan sofisticado. O carregador de Trojan BOOSTWRITE serve para pavimentar o caminho para mais cargas maliciosas, que serão plantadas no host comprometido. A carga útil, que está sendo transportada pelo carregador de Trojan BOOSTWRITE, é criptografada. Para descriptografar a carga, o carregador de Trojan BOOSTWRITE precisa estabelecer uma conexão com o servidor C&C (Command & Control) de seus operadores e recuperar a chave de descriptografia necessária ao lado do vetor de inicialização.

Conhecido por Implantar Duas Ameaças Adicionais

Os pesquisadores de malware identificaram duas cargas úteis de segundo estágio que foram usadas em uníssono com o carregador de Trojan BOOSTWRITE. Uma delas é a ameaça de marca registrada do Carbanak Group, que deu o nome a ela - o malware Carbanak. A segunda ameaça que o carregador BOOSTWRITE implantaria é uma nova ferramenta de hackers desenvolvida pelo mesmo grupo de hackers - o RDFSNIFFER RAT (Trojan de Acesso Remoto). Esse RAT é bastante incomum, pois só aciona o ataque se o host tiver uma certa ferramenta de software presente em seu sistema - o NCR Aloha Command Center.

Por enquanto, parece que o carregador de Trojan do BOOSTWRITE está carregando apenas essas duas cargas secundárias. No entanto, como esse é um carregador de Trojan bastante avançado, é provável que o Carbanak Group continue a usá-lo em campanhas futuras e possa usá-lo para plantar ameaças ainda mais danosas. Se você deseja se libertar do carregador de Trojans BOOSTWRITE, recomendamos que você procure obter um aplicativo anti-malware legítimo e mantenha-o atualizado.