Ερευνητές ασφαλείας ανακάλυψαν ένα νέο εργαλείο, που χρησιμοποιείται από την hacking ομάδα FIN7 για την εγκατάσταση νέων εκδόσεων του Carbanak backdoor. Το malware loader ονομάζεται BIOLOAD και μοιάζει αρκετά με το BOOSTWRITE, ένα άλλο εργαλείο που επίσης συνδέθηκε πρόσφατα με τους hackers της FIN7. Οι ερευνητές παρατήρησαν ότι το loader δεν ανιχνεύεται εύκολα.
Κατάχρηση νόμιμων μεθόδων των Windows
Το κακόβουλο λογισμικό χρησιμοποιεί μια τεχνική με το όνομα «binary planting», που εκμεταλλεύεται μια μέθοδο των Windows για αναζήτηση DLLs. Με αυτόν τον τρόπο, οι επιτιθέμενοι μπορούν να αποκτήσουν περισσότερα προνόμια στο σύστημα-στόχο.
Η πλατφόρμα ασφαλείας της Fortinet έχει μπλοκάρει κακόβουλα payloads σε νόμιμες διαδικασίες των Windows. Συγκεκριμένα, ανίχνευσε ένα κακόβουλο DLL στο FaceFodUninstaller.exe.
“Αυτό που κάνει το εκτελέσιμο ελκυστικό στα μάτια ενός εισβολέα είναι το γεγονός ότι ξεκίνησε από ένα ενσωματωμένο task, που ονομάζεται FODCleanupTask. Έτσι, μειώνονται οι πιθανότητες ανίχνευσης”, δήλωσε η Fortinet.
Ο επιτιθέμενος τοποθετεί το κακόβουλο WinBio.dll στο φάκελο “\ System32 \ WinBioPlugIns”, που φιλοξενεί το νόμιμο DLL “winbio”.
Όπως είπαμε και παραπάνω, το νέο malware loader BIOLOAD μοιάζει αρκετά με το εργαλείο BOOSTWRITE. Σύμφωνα με τη Fortinet, τα δείγματα BIOLOAD που αναλύθηκαν, εμφανίστηκαν τον Μάρτιο και τον Ιούλιο του 2019, ενώ το BOOSTWRITE βρέθηκε τον Μάιο.
Ωστόσο, υπάρχουν και κάποιες διαφορές ανάμεσα στα δύο loaders. Για παράδειγμα, το BIOLOAD δεν υποστηρίζει πολλά payloads. Επίσης, χρησιμοποιεί το XOR για την αποκρυπτογράφηση του payload και όχι το ChaCha cipher.
Παρά το γεγονός ότι τo BIOLOAD χρησιμοποιείται εδώ και 9 μήνες, δεν ανιχνεύεται εύκολα. Μόνο 9 από τις 68 μηχανές προστασίας από ιούς (στην πλατφόρμα σάρωσης VirusTotal) αναγνωρίζουν το WinBio.dll ως κακόβουλο.
Όσον αφορά στο payload που εγκαθίσταται στα παραβιασμένα συστήματα, πρόκειται για μια νεότερη έκδοση του Carbanak backdoor.
Το BIOLOAD σε αντίθεση με άλλα loaders, ελέγχει τις μολυσμένες συσκευές για προγράμματα προστασίας από ιούς, που προέρχονται από πολλές εταιρείες. Άλλα loaders ελέγχουν μόνο για προγράμματα της Kaspersky, της AVG και της TrendMicro.
Αναλύοντας τους κωδικούς, τις τεχνικές και το ίδιο το backdoor, η Fortinet αποδίδει το BIOLOAD στην hacking ομάδα FIN7.
Αυτό αποτελεί απόδειξη ότι η FIN7 αναπτύσσει συνεχώς νέα εργαλεία για να διανείμει τα backdoors της.
