З’явився новий небезпечний завантажувач, який має надійний захист від виявлення

Кіберзлочинне угруповання FIN7 озброїлася новим інструментом BIOLOAD, який використовують для завантаження актуальніших версій бекдора Carbanak. “Шкідник” володіє хорошим захистом від виявлення та схожий із BOOSTWRITE, іншим завантажувачем в арсеналі FIN7.

BIOLOAD використовує техніку бінарної установки, яка експлуатує метод в Windows для пошуку DLL-бібліотек. Таким чином зловмисник може підвищити привілеї в системі або забезпечити персистентність.

Дослідники безпеки з компанії Fortinet виявили шкідливу DLL-бібліотеку в легітимному процесі FaceFodUninstaller.exe, реалізованому в чистих установках ОС Windows, починаючи з Windows 10 (1803). Зловмисники розміщують шкідливий файл WinBio.dll в папку “\System32\WinBioPlugIns”, в якій знаходиться легітимна DLL-бібліотека “winbio”.

Фахівці виявили схожість між BIOLOAD і BOOSTWRITE. Завантажувач BOOSTWRITE використовує техніку перехоплення пошуку DLL (DLL Search Order Hijacking) для завантаження власних шкідливих DLL-бібліотек в пам’ять зараженої системи, а потім завантажує вектор ініціалізації і ключ, необхідний для дешифрування вбудованих корисних навантажень.

Дослідники також помітили деякі відмінності. BIOLOAD не підтримує множинні корисні навантаження, а також використовує енкодер XOR для розшифровки корисного навантаження замість шифру ChaCha. З’єднання з віддаленим сервером для отримання ключа дешифрування також не відбувається у випадку з BIOLOAD, оскільки він налаштовується для кожної системи жертви і отримує ключ дешифрування від її імені.

Як припускають експерти, грунтуючись на датах компіляції шкідливого ПЗ і його поведінці, даний завантажувач є попередником BOOSTWRITE.

Виявлена шкідлива програма демонструє, що FIN7 активно розробляє інструменти для завантаження своїх бекдор. У той час як BIOLOAD використовувався для завантаження Carbanak на заражений хост, свіжіший завантажувач BOOSTWRITE використовувався для завантаження інструменту віддаленого доступу RDFSNIFFER для “зламу” клієнтського додатка NCR Aloha Command Center і взаємодії з системами-жертвами за допомогою двофакторної аутентифікації.

До речі, для багатьох Різдво є найчарівнішою порою року – часом дарувати подарунки та отримувати приємні вітання, робити добрі справи та радувати близьких. Але скористатися передсвятковою заклопотаністю також прагнуть кіберзлочинці, схеми шахрайства в Інтернеті яких націлені на викрадення грошей та даних користувачів.

Якщо Ви щойно придбали Apple Watch 5, то треба пам’ятати про захист девайсу від тих, хто використовував би його для розблокування інших пристроїв, здійснення транзакцій Apple Pay або отримання доступу до даних.

Нагадаємо, компанія-розробник програмного забезпечення Greenspector провела безліч тестів, включаючи тестування споживання мобільних даних, ресурсів смартфона і виявили переможця. Дивно, але перше місце дісталося не Google Chrome.

Окрім цього, злочинну групу, яка скуповувала клієнтські бази даних та у подальшому використовувала їх для виманювання коштів громадян методами психологіного впливу, викрила кіберполіція України.

Також базу даних митниці збував зловмисник на тематичних хакерських форумах. Ціна однієї бази становила три тисячі доларів США. Розрахунки відбувались у криптовалюті.