Pesquisadores descobriram 2 novas ferramentas de hackers, chamadas BOOSTWRITE e RDFSNIFFER, adicionadas ao arsenal de malware dos grupos FIN7 com recursos e técnicas sofisticadas.
Os investigadores do FireEye Mandiant descobriram que essas novas ferramentas de hackers foram adicionadas para seqüestrar a ordem de carregamento de DLL do utilitário Aloha legítimo e carregar o malware.
A ferramenta denominada BOOSTWRITE é um conta-gotas de carga útil que foi empregado para descriptografar as cargas úteis do incorporador usando a chave de descriptografia específica do servidor de comando e controle e é altamente capaz de evitar a detecção de antivírus.
Outra ferramenta chamada RDFSNIFFER é uma carga útil do BOOSTWRITE que foi desenvolvida para executar uma alteração não autorizada com o cliente Aloha Command Center, um software de administrador remoto projetado pela NCR Corporation e usado principalmente nos setores de processamento de cartões de pagamento.
BOOSTWRITE usando várias táticas, técnicas e procedimentos (TTPs), como assinatura de código, execução por carregamento de módulo, desobstrução,
Dados criptografados, seqüestro de DLL e muito mais.
Carregador da FIN7 “BOOSTWRITE”
Os atores de ameaças abusam da ordem de pesquisa DLL que carrega o ‘Dwrite.dll legítimo’ carregado pelos aplicativos.
Durante a rotina de infecção, o BOOSTWRITE foi colocado no sistema de arquivos ao lado do binário RDFClient, que ajuda o carregador a forçar o aplicativo a importar o DWriteCreateFactory em vez do DWrite.dll legítimo.
Segundo a pesquisa da FireEye ”O malware descriptografa e carrega duas DLLs de carga útil. Uma das DLLs é uma instância do backdoor do CARBANAK; a outra DLL é uma ferramenta rastreada pelo FireEye como RDFSNIFFER, que permite a um invasor seqüestrar instâncias do aplicativo NCR Aloha Command Center Client e interagir com os sistemas das vítimas por meio de sessões 2FA legítimas existentes. “
RDFSNIFFER com recurso RAT
RDFSNIFFER descartado por BOOSTWRITE que permite ao invasor violar as conexões legítimas via RDFClient e alterar a DLL para seqüestrar elementos de sua interface do usuário.
“Este módulo também contém um componente de backdoor que permite injetar comandos em uma sessão ativa do RDFClient. Esse backdoor permite que um invasor carregue, baixe, execute e / ou exclua arquivos arbitrários ”
Iludir a detecção
A investigação mandante identificou que o BOOSTWRITE foi assinado usando um certificado de assinatura de código emitido pela MANGO ENTERPRISE LIMITED e foi carregado no VirusTotal em outubro 3.
“Não é uma técnica completamente nova para o FIN7, já que o grupo usou certificados digitais no passado para assinar documentos de phishing, backdoors e ferramentas de estágio posterior”, disse FireEye.
Os pesquisadores acreditam que os atores por trás dessas ferramentas estão alterando ativamente esse malware para evitar os mecanismos tradicionais de detecção.
O FIN7 aumenta suas chances de ignorar vários controles de segurança e comprometer as vítimas com êxito, explorando a confiança, inerentemente fornecida por certificados de código.
Você pode nos seguir no Linkedin, Twitter, Facebook para atualizações diárias de segurança cibernética e hackers
