El grupo cibercriminal con motivaciĆ³n financiera conocido como FIN7 ha actualizado su arsenal con un nuevo juguete diseƱado para cargar nuevas variantes del backdoor Carbanak en sistemas comprometidos. Apodado BIOLOAD, el malware tiene una baja tasa de detecciĆ³n y comparte algunas similitudes con BOOSTWRITE, otro cargador en el kit de herramientas de FIN7, segĆŗn una publicaciĆ³n reciente del blog del equipo de investigaciĆ³n de amenazas de Fortinet.
El grupo ha estado activo desde finales de 2015 y se concentra principalmente en dirigirse a empresas de todo el mundo para robar informaciĆ³n de tarjetas de pago. Se cree que FIN7 ha afectado a mĆ”s de 100 empresas estadounidenses, la mayorĆa de ellas en restaurantes, hostelerĆa e industrias.
El malware se basa en una tĆ©cnica llamada plantaciĆ³n binaria (secuestro de orden de bĆŗsqueda de DLL) que abusa de un mĆ©todo utilizado por Windows para buscar las DLL necesarias para cargar en un programa. Los investigadores encontraron una DLL maliciosa en el binario FaceFodUninstaller.exe que existe en instalaciones limpias del sistema operativo Windows a partir de Windows 10 1803. El ejecutable depende de winbio.dll, que generalmente se encuentra en el directorio principal ("% WINDR% \ System32").
“Lo que hace que este ejecutable sea aĆŗn mĆ”s atractivo a los ojos de un atacante es el hecho de que se inicia desde una tarea programada incorporada llamada FODCleanupTask, lo que minimiza la huella en la mĆ”quina y reduce aĆŗn mĆ”s las posibilidades de detecciĆ³n. Esto demuestra los esfuerzos continuos de investigaciĆ³n tecnolĆ³gica del grupo ”, escribieron los investigadores.Los atacantes inyectan el archivo del cargador (WinBio.dll) en la carpeta "\ System32 \ WinBioPlugIns", aprovechando asĆ el orden de bĆŗsqueda de DLL predeterminado. Como seƱalaron los investigadores, para plantar el malware, el atacante necesitaba tener privilegios elevados en la mĆ”quina de la vĆctima, como un administrador o una cuenta SYSTEM.
Las muestras del cargador BIOLOAD examinadas por el equipo se compilaron en marzo y julio de 2019, mientras que las muestras de BOOSTWRITE se compilaron en mayo. El cargador BIOLOAD difiere un poco de BOOSTWRITE en funcionalidad, es decir, no admite mĆŗltiples cargas Ćŗtiles y utiliza XOR para descifrar la carga Ćŗtil en lugar del cifrado ChaCha, tampoco se conecta a un servidor remoto para obtener la clave de descifrado, sino que deriva la clave de descifrado del nombre de las vĆctimas.
El cargador BIOLOAD se utilizĆ³ en ataques para entregar las Ćŗltimas versiones de la puerta trasera Carbanak que, segĆŗn sus marcas de tiempo, se compilaron en enero y abril de 2019.
“Este es el primer caso pĆŗblico de FaceFodUninstaller.exe que es abusado como proceso de host por un actor de amenaza. La base de cĆ³digo compartida con herramientas recientes atribuidas a FIN7, junto con las mismas tĆ©cnicas y puerta trasera, permite atribuir este nuevo cargador al grupo de delitos informĆ”ticos. Las marcas de tiempo, junto con una funcionalidad mĆ”s simple, sugieren que BIOLOAD es una iteraciĆ³n anterior de BOOSTWRITE. Dado que el cargador estĆ” diseƱado especĆficamente para cada mĆ”quina objetivo y requiere permisos administrativos para su implementaciĆ³n, sugiere que el grupo reĆŗna informaciĆ³n sobre las redes de sus objetivos ", anotaron los investigadores.
https://www.fortinet.com/blog/threat-research/bioload-fin7-boostwrite-lost-twin.html
