BIOLOAD
FIN7 är en ekonomiskt motiverad grupp hotaktörer som specialiserar sig på attacker mot företag i olika regioner. En av deras anmärkningsvärda skadefamiljfamiljer är BOOSTWRITE, och cybersecurity-forskare avslöjade en annan skadlig familj som verkar dela likheter med BOOSTWRITE nyligen - det nya hotet kallas BIOLOAD. BIOLOAD uppfyller syftet med en Trojan Loader - en bit skadlig programvara som är avsedd att ladda en skadlig nyttolast och köra den på ett säkert sätt.
Ofta har Trojan-laddare utbytbara nyttolaster, men BIOLOAD-fallet är lite annorlunda - skadlig programvara är anpassad för alla system som den infekterar. Den har en unik nyttolast som är krypterad, och BIOLOAD Loader får dekrypteringsnyckeln genom att använda den komprometterade datorns namn i kombination med annan information inbäddad i loaderens fil.
Hittills har FIN7 använt BIOLOAD med bara ett hot - den ökända Carbanak Banking Trojan. Det är möjligt att BIOLOAD-laddaren kan användas med andra skadliga familjer i framtiden, men för närvarande har det inte funnits några dokumenterade användningar av annan skadlig programvara.
BIOLOAD laddar den inbäddade nyttolasten genom att skapa en ny schemalagd uppgift som är programmerad för att starta nyttolasten 30 sekunder efter att Windows startat upp. Det skadliga programmet har också grundläggande modulering av felsökning och undvikande av sandlådor som gör det möjligt att upptäcka miljöer som används för skadlig forskning och stoppa attackprocessen.
FIN7 har valt att gå för riktade attacker när man använder BIOLOAD Loader, och det verkar som att gruppen kan ha använt rekognoseringsverktyg för att samla intelligens om målen för BIOLOAD-kampanjen.
