El grupo cibercriminal con motivación financiera conocido como FIN7 ha actualizado su arsenal con un nuevo juguete diseñado para cargar nuevas variantes del backdoor Carbanak en sistemas comprometidos. Apodado BIOLOAD, el malware tiene una baja tasa de detección y comparte algunas similitudes con BOOSTWRITE, otro cargador en el kit de herramientas de FIN7, según una publicación reciente del blog del equipo de investigación de amenazas de Fortinet.
El grupo ha estado activo desde finales de 2015 y se concentra principalmente en dirigirse a empresas de todo el mundo para robar información de tarjetas de pago. Se cree que FIN7 ha afectado a más de 100 empresas estadounidenses, la mayoría de ellas en restaurantes, hostelería e industrias.
El malware se basa en una técnica llamada plantación binaria (secuestro de orden de búsqueda de DLL) que abusa de un método utilizado por Windows para buscar las DLL necesarias para cargar en un programa. Los investigadores encontraron una DLL maliciosa en el binario FaceFodUninstaller.exe que existe en instalaciones limpias del sistema operativo Windows a partir de Windows 10 1803. El ejecutable depende de winbio.dll, que generalmente se encuentra en el directorio principal (“% WINDR% \ System32”).
“Lo que hace que este ejecutable sea aún más atractivo a los ojos de un atacante es el hecho de que se inicia desde una tarea programada incorporada llamada FODCleanupTask, lo que minimiza la huella en la máquina y reduce aún más las posibilidades de detección. Esto demuestra los esfuerzos continuos de investigación tecnológica del grupo ”, escribieron los investigadores.
Los atacantes inyectan el archivo del cargador (WinBio.dll) en la carpeta “\ System32 \ WinBioPlugIns”, aprovechando así el orden de búsqueda de DLL predeterminado. Como señalaron los investigadores, para plantar el malware, el atacante necesitaba tener privilegios elevados en la máquina de la víctima, como un administrador o una cuenta SYSTEM.
Las muestras del cargador BIOLOAD examinadas por el equipo se compilaron en marzo y julio de 2019, mientras que las muestras de BOOSTWRITE se compilaron en mayo. El cargador BIOLOAD difiere un poco de BOOSTWRITE en funcionalidad, es decir, no admite múltiples cargas útiles y utiliza XOR para descifrar la carga útil en lugar del cifrado ChaCha, tampoco se conecta a un servidor remoto para obtener la clave de descifrado, sino que deriva la clave de descifrado del nombre de las víctimas.
El cargador BIOLOAD se utilizó en ataques para entregar las últimas versiones de la puerta trasera Carbanak que, según sus marcas de tiempo, se compilaron en enero y abril de 2019.
“Este es el primer caso público de FaceFodUninstaller.exe que es abusado como proceso de host por un actor de amenaza. La base de código compartida con herramientas recientes atribuidas a FIN7, junto con las mismas técnicas y puerta trasera, permite atribuir este nuevo cargador al grupo de delitos informáticos. Las marcas de tiempo, junto con una funcionalidad más simple, sugieren que BIOLOAD es una iteración anterior de BOOSTWRITE. Dado que el cargador está diseñado específicamente para cada máquina objetivo y requiere permisos administrativos para su implementación, sugiere que el grupo reúna información sobre las redes de sus objetivos “, anotaron los investigadores.
https://www.fortinet.com/blog/threat-research/bioload-fin7-boostwrite-lost-twin.html