BIOLOAD es la nueva técnica del Grupo Fin7 para crear un portón trasero Carbanak

Los investigadores de Fortinet han descubierto un nuevo método para configurar una puerta trasera Carbanak en el sistema de la víctima a través de BIOLOAD malware. Esto se atribuyó al infame grupo de delitos informáticos Fin7 y su técnica anterior, BOOSTWRITE.

DLL es un archivo de biblioteca que almacena varios códigos para varios programas en el sistema operativo Windows. Si bien el sistema utiliza una búsqueda común para encontrar archivos DLL relevantes, los abusadores aprovechan esta función para descargar archivos DLL maliciosos. Este proceso se conoce como plantación binaria y puede dar a los atacantes acceso adicional al sistema host.

BIOLOAD es la nueva técnica del hacker Fin7 para crear una puerta trasera Carbanak
Imagen de PixaBay

Ocultar archivos legítimos

Descubierto por el grupo Cyber ​​de Fortinet, el archivo abusado se nombra para ser FaceFodUninstaller.exe, que se almacena en un archivo legítimo System32 WinBioPlugIns al lado WinBio.dll. Esta ruta es un almacenamiento legítimo para Winbio.

Descubrieron esto al bloquear cargas útiles maliciosas utilizando su plataforma de seguridad de punto final enSilo. Ellos dijeron, «Lo que hace que este ejecutable sea aún más atractivo a los ojos de un atacante es el hecho de que se inicia desde una tarea programada integrada llamada FODCleanupTask, lo que minimiza la huella de la máquina y reduce aún más las posibilidades de detección».

Fortinet describe que esta BIOLOAD se compiló en marzo y julio de este año, de acuerdo con las marcas de tiempo en su código. Además, dado que esta DLL no admite múltiples cargas útiles, utiliza XOR para descifrar el volcado en lugar del cifrado ChaCha. Y dado que todo el malware se personaliza específicamente para cada víctima, BIOLOAD no se comunica con un servidor remoto para obtener claves de descifrado, sino que depende del nombre de la máquina que está infectando.

Conectando a Fin7

Esta técnica se atribuye a un grupo de piratería popular, Fin7. El grupo está directamente interesado en el dinero en lugar de en los datos y tiene registros de piratear muchos bancos para hacerlo.

La metodología que afecta a este nuevo BIOLOAD se atribuye a BOOSTWRITE, un cargador similar con carga útil DLL cifrada. El objetivo final de estos volcados de DLL es crear una puerta trasera Carbanak, que permite a los piratas informáticos obtener acceso de administrador y hacer lo que quieran.

Las técnicas que utilizan como BIOLOAD, sin contacto con servidores remotos, FODCleanupTask etc., hacen que el malware sea indetectable. Es tan sofisticado que solo 22 de los más de 60 software antivirus actualmente lo marcan como dañino en VirusTotal.