Δευτέρα, 30 Μαρτίου, 17:51
Αρχική security FIN7: Το malware loader BIOLOAD εγκαθιστά το Carbanak backdoor στις μολυσμένες συσκευές

FIN7: Το malware loader BIOLOAD εγκαθιστά το Carbanak backdoor στις μολυσμένες συσκευές

malware Ερευνητές ασφαλείας ανακάλυψαν ένα νέο εργαλείο, που χρησιμοποιείται από την hacking ομάδα FIN7 για την εγκατάσταση νέων εκδόσεων του Carbanak backdoor. Το malware loader ονομάζεται BIOLOAD και μοιάζει αρκετά με το BOOSTWRITE, ένα άλλο εργαλείο που επίσης συνδέθηκε πρόσφατα με τους hackers της FIN7. Οι ερευνητές παρατήρησαν ότι το loader δεν ανιχνεύεται εύκολα.

Κατάχρηση νόμιμων μεθόδων των Windows

Το κακόβουλο λογισμικό χρησιμοποιεί μια τεχνική με το όνομα «binary planting», που εκμεταλλεύεται μια μέθοδο των Windows για αναζήτηση DLLs. Με αυτόν τον τρόπο, οι επιτιθέμενοι μπορούν να αποκτήσουν περισσότερα προνόμια στο σύστημα-στόχο.

Η πλατφόρμα ασφαλείας της Fortinet έχει μπλοκάρει κακόβουλα payloads σε νόμιμες διαδικασίες των Windows. Συγκεκριμένα, ανίχνευσε ένα κακόβουλο DLL στο FaceFodUninstaller.exe.

“Αυτό που κάνει το εκτελέσιμο ελκυστικό στα μάτια ενός εισβολέα είναι το γεγονός ότι ξεκίνησε από ένα ενσωματωμένο task, που ονομάζεται FODCleanupTask. Έτσι, μειώνονται οι πιθανότητες ανίχνευσης”, δήλωσε η Fortinet.

Ο επιτιθέμενος τοποθετεί το κακόβουλο WinBio.dll στο φάκελο “\ System32 \ WinBioPlugIns”, που φιλοξενεί το νόμιμο DLL “winbio”.

malware

Όπως είπαμε και παραπάνω, το νέο malware loader BIOLOAD μοιάζει αρκετά με το εργαλείο BOOSTWRITE. Σύμφωνα με τη Fortinet, τα δείγματα BIOLOAD που αναλύθηκαν, εμφανίστηκαν τον Μάρτιο και τον Ιούλιο του 2019, ενώ το BOOSTWRITE βρέθηκε τον Μάιο.

Ωστόσο, υπάρχουν και κάποιες διαφορές ανάμεσα στα δύο loaders. Για παράδειγμα, το BIOLOAD δεν υποστηρίζει πολλά payloads. Επίσης, χρησιμοποιεί το XOR για την αποκρυπτογράφηση του payload και όχι το ChaCha cipher.

Παρά το γεγονός ότι τo BIOLOAD χρησιμοποιείται εδώ και 9 μήνες, δεν ανιχνεύεται εύκολα. Μόνο 9 από τις 68 μηχανές προστασίας από ιούς (στην πλατφόρμα σάρωσης VirusTotal) αναγνωρίζουν το WinBio.dll ως κακόβουλο.

Όσον αφορά στο payload που εγκαθίσταται στα παραβιασμένα συστήματα, πρόκειται για μια νεότερη έκδοση του Carbanak backdoor.

Το BIOLOAD σε αντίθεση με άλλα loaders, ελέγχει τις μολυσμένες συσκευές για προγράμματα προστασίας από ιούς, που προέρχονται από πολλές εταιρείες. Άλλα loaders ελέγχουν μόνο για προγράμματα της Kaspersky, της AVG και της TrendMicro.

Αναλύοντας τους κωδικούς, τις τεχνικές και το ίδιο το backdoor, η Fortinet αποδίδει το BIOLOAD στην hacking ομάδα FIN7.

Αυτό αποτελεί απόδειξη ότι η FIN7 αναπτύσσει συνεχώς νέα εργαλεία για να διανείμει τα backdoors της.

Absenta Mia
Absenta Miahttps://www.secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

LIVE NEWS

Το malware Zeus Sphinx επωφελείται από τον κορωνοϊό και επανεμφανίζεται

Μετά από χρόνια αδράνειας, το malware Zeus Sphinx ανασταίνεται για να επωφεληθεί από την πανδημία του κορωνοϊού σε ένα νέο κύμα απάτης.

Η ομάδα Formula 1 της Mercedes παρασκευάζει μηχανήματα υποστήριξης αναπνοής για τους ασθενείς του Κοροναϊού σε λιγότερο από 100 ώρες

Η ομάδα της Formula 1 της Mercedes συνεργάστηκε με γιατρούς και μηχανικούς από το Πανεπιστήμιο του Λονδίνου σε μία προσπάθεια να κατασκευάσουν...

Προσοχή: ψεύτικες ιστοσελίδες πουλάνε μάσκες για τον κορωνοϊό

Οι εγκληματίες του κυβερνοχώρου, συνεχίζουν να εκμεταλλεύονται την κατάσταση που έχει προκύψει από την πανδημία του κορωνοϊού...

OnePlus 8: Διέρρευσαν πληροφορίες για νέα χρώματα

Νέες διαρροές χαρακτηριστικών του OnePlus 8 κυκλοφόρησαν στο ίντερνετ τη τελευταία εβδομάδα. Σύμφωνα με τις νέες πληροφορίες,...

Μάθετε πώς να χρησιμοποιείτε και να αλλάζετε το φόντο στο Zoom

Αδιαμφισβήτητα, μία από τις πιο δημοφιλείς και ιδανικές εφαρμογές, ιδιαίτερα κατά την πανδημία του Κοροναϊού, είναι το Zoom. Παρά τις ανησυχίες που...

Η Cosmote δίνει 2 εκατ. ευρώ για την ενίσχυση των ελληνικών νοσοκομείων

Cosmote: Δίνει 2 εκατ. ευρώ για την ενίσχυση των ελληνικών νοσοκομείων: Στη δωρεά 2 εκατ. ευρώ για την ενίσχυση των ελληνικών νοσοκομείων...

Amazon απεργία: Εργαζόμενοι ζητούν το κλείσιμο εγκατάστασης λόγω κορωνοϊού

Απεργία κάνουν οι υπάλληλοι της Amazon λόγω των συνθηκών εργασίας εν μέσω κορωνοϊού. Οι...

Η χρήση RDP και εταιρικών VPN έχει αυξηθεί σημαντικά λόγω Κοροναϊού

Κατά την πανδημία του Κοροναϊού, η χρήση τεχνολογιών απομακρυσμένης πρόσβασης έχει αυξηθεί σε εντυπωσιακό βαθμό. Συγκεκριμένα, η χρήση RDP(Remote Desktop Protocol) και...

Η Σαουδική Αραβία κατασκοπεύει κινητά μέσω ευπαθειών στο SS7

Εδώ και πολύ καιρό, οι εμπειρογνώμονες και οι ειδικοί σε θέματα ασφαλείας, προειδοποιούν για την ύπαρξη ελαττωμάτων...

Η Κεντρική Τράπεζα της Τουρκίας υπονομεύει την απειλή του Κοροναϊού για την οικονομία

Η Κεντρική Τράπεζα της Τουρκίας ζωγράφισε μια εικόνα που περνά ένα αισιόδοξο μήνυμα για την απειλή του Κοροναϊού, αναφέροντας ότι η μεγαλύτερη...