BIOLOAD
FIN7 est un groupe d'acteurs de menaces à motivation financière qui se spécialisent dans les attaques contre les entreprises dans différentes régions. BOOSTWRITE est l'une de leurs familles de logiciels malveillants notables, et les chercheurs en cybersécurité ont récemment découvert une autre famille de logiciels malveillants qui semble partager des similitudes avec BOOSTWRITE - la nouvelle menace est baptisée BIOLOAD. BIOLOAD remplit l'objectif d'un cheval de Troie Loader - un malware qui est destiné à charger une charge utile nuisible et à l'exécuter sur le hos compromis en toute sécurité.
Souvent, les chargeurs de chevaux de Troie ont des charges utiles échangeables, mais le cas de BIOLOAD est un peu différent - le logiciel malveillant est personnalisé pour chaque système qu'il infecte. Il transporte une charge utile unique qui est chiffrée et le chargeur BIOLOAD obtient la clé de déchiffrement en utilisant le nom de l'ordinateur compromis en combinaison avec d'autres informations incorporées dans le fichier du chargeur.
Jusqu'à présent, FIN7 a utilisé BIOLOAD avec une seule menace - le tristement célèbre cheval de Troie bancaire Carbanak . Il est possible que le chargeur BIOLOAD soit utilisé avec d'autres familles de logiciels malveillants à l'avenir, mais pour le moment, il n'y a eu aucune utilisation documentée d'autres logiciels malveillants.
BIOLOAD charge la charge utile intégrée en créant une nouvelle tâche planifiée qui est programmée pour lancer la charge utile 30 secondes après le démarrage de Windows. Le logiciel malveillant dispose également de modules de base anti-débogage et d'évasion sandbox qui lui permettent de détecter les environnements utilisés pour la recherche de logiciels malveillants et d'arrêter le processus d'attaque.
FIN7 a opté pour des attaques ciblées lors de l'utilisation du chargeur BIOLOAD, et il semble que le groupe ait peut-être utilisé des outils de reconnaissance pour collecter des informations sur les cibles de la campagne BIOLOAD.
