BIOLOAD
FIN7 es un grupo de actores de amenazas con motivación financiera que se especializan en ataques contra empresas en diferentes regiones. Una de sus familias notables de malware es BOOSTWRITE, y los investigadores de ciberseguridad descubrieron otra familia de malware que parece compartir similitudes con BOOSTWRITE recientemente: la nueva amenaza se llama BIOLOAD. BIOLOAD cumple el propósito de un cargador de troyanos, una pieza de malware que está destinada a cargar una carga dañina y ejecutarla de forma segura en el host comprometido.
A menudo, los cargadores de troyanos tienen cargas útiles intercambiables, pero el caso de BIOLOAD es un poco diferente: el malware se personaliza para cada sistema que infecta. Lleva una carga útil única que está encriptada, y BIOLOAD Loader obtiene la clave de descifrado utilizando el nombre de la computadora comprometida en combinación con otra información incrustada en el archivo del cargador.
Hasta ahora, FIN7 ha estado utilizando BIOLOAD con solo una amenaza: el infame troyano bancario Carbanak . Es posible que el cargador BIOLOAD se pueda usar con otras familias de malware en el futuro, pero por el momento, no ha habido usos documentados de otro malware.
BIOLOAD carga la carga útil incrustada creando una nueva tarea programada que está programada para iniciar la carga útil 30 segundos después de que Windows se inicie. El malware también tiene módulos básicos de anti-depuración y evasión de sandbox que le permiten detectar entornos utilizados para la investigación de malware y detener el proceso de ataque.
FIN7 ha optado por realizar ataques dirigidos cuando usa el cargador de BIOLOAD, y parece que el grupo puede haber usado herramientas de reconocimiento para recopilar información sobre los objetivos de la campaña de BIOLOAD.
