Go Back   Carder.life > [ru] Forum for Russians > Новости мирового кардинга
Reload this Page Киберпреступники из FIN7 вооружились новым вредоносом BIOLOAD

CARDER.MARKET - CARDING FORUM FOR PROFESSIONAL CARDERS


 
 
Thread Tools Display Modes
Prev Previous Post   Next Post Next
  #1  
Old 03-14-2025, 07:33 PM
Artifact's Avatar

Artifact Artifact is offline
Administrator
Join Date: Jan 2024
Posts: 0
Default

Вредонос обладает хорошей защитой от обнаружения и имеет сходство с загрузчиком BOOSTWRITE.

Киберпреступная группировка FIN7 вооружилась новым инструментом BIOLOAD, используемым для загрузки более актуальных версий бэкдора Carbanak. Вредонос обладает хорошей защитой от обнаружения и имеет сходство с BOOSTWRITE, другим загрузчиком в арсенале FIN7.
BIOLOAD использует технику бинарной установки, эксплуатирующую метод в Windows для поиска DLL-библиотек. Таким образом злоумышленник может повысить привилегии в системе или обеспечить персистентность.
Исследователи безопасности из компании Fortinet обнаружили вредоносную DLL-библиотеку в легитимном процессе FaceFodUninstaller.exe, реализованном в чистых установках ОС Windows, начиная с Windows 10 (1803). Злоумышленники размещают вредоносный файл WinBio.dll в папку «\System32\WinBioPlugIns», в которой находится легитимная DLL-библиотека «winbio».
Специалисты обнаружили сходство между BIOLOAD и BOOSTWRITE. Загрузчик BOOSTWRITE использует технику перехвата поиска DLL (DLL Search Order Hijacking) для загрузки собственных вредоносных DLL-библиотек в память зараженной системы, а затем загружает вектор инициализации и ключ, необходимый для дешифрования встроенных полезных нагрузок.
Исследователи также заметили некоторые различия. BIOLOAD не поддерживает множественные полезные нагрузки, а также использует энкодер XOR для расшифровки полезной нагрузки вместо шифра ChaCha. Соединение с удаленным сервером для получения ключа дешифрования также не происходит в случае с BIOLOAD, поскольку он настраивается для каждой системы жертвы и получает ключ дешифрования от ее имени.
Как предполагают эксперты, основываясь на датах компиляции вредоносного ПО и его поведении, данный загрузчик является предшественником BOOSTWRITE.
Обнаруженная вредоносная программа демонстрирует, что FIN7 активно разрабатывает инструменты для загрузки своих бэкдоров. В то время как BIOLOAD использовался для загрузки Carbanak на зараженный хост, более свежий загрузчик BOOSTWRITE использовался для загрузки инструмента удаленного доступа RDFSNIFFER для «взлома» клиентского приложения NCR Aloha Command Center и взаимодействия с системами-жертвами посредством двухфакторной аутентификации.
 

Tags
NULL

« Previous Thread | Next Thread »

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts
BB code is On
Smilies are On
[IMG] code is On
HTML code is On
Forum Jump




All times are GMT. The time now is 11:20 PM.

Contact Us - Carder.life - Archive - Top