Los investigadores descubrieron 2 nuevas herramientas de piratería llamadas BOOSTWRITE y RDFSNIFFER que se agregaron en el arsenal de malware de grupos FIN7 con capacidades y técnicas sofisticadas.
Los investigadores de FireEye Mandiant descubrieron que estas nuevas herramientas de piratería se agregaron para secuestrar el orden de carga de DLL de la utilidad legítima Aloha y cargar el malware.
La herramienta denominada BOOSTWRITE es un cuentagotas de carga útil que se empleó para descifrar las cargas útiles del incrustador utilizando la clave de descifrado específica del servidor de comando y control y es altamente capaz de evadir la detección de antivirus .
Otra herramienta llamada RDFSNIFFER es una carga útil de BOOSTWRITE que se desarrolló para realizar una alteración no autorizada con el cliente Aloha Command Center, un software de administrador remoto diseñado por NCR Corporation y se utiliza principalmente en los sectores de procesamiento de tarjetas de pago.
BOOSTWRITE utiliza varias tácticas, técnicas y procedimientos (TTP) como la firma de código, la ejecución a través de la carga del módulo, la desofuscación, el
cifrado de datos, el secuestro de DLL y más.
El cargador de FIN7 “BOOSTWRITE”
Los actores de amenazas abusan del orden de búsqueda de DLL que carga el ‘Dwrite.dll’ legítimo que cargan las aplicaciones.
Durante la rutina de infección, BOOSTWRITE se colocó en el sistema de archivos junto con el binario RDFClient que ayuda al cargador a forzar a la aplicación a importar DWriteCreateFactory en lugar de DWrite.dll legítimo.
Según la investigación de FireEye “El malware descifra y carga dos DLL de carga útil. Una de las DLL es una instancia de la puerta trasera CARBANAK; la otra DLL es una herramienta rastreada por FireEye como RDFSNIFFER que permite a un atacante secuestrar instancias de la aplicación NCR Aloha Command Center Client e interactuar con los sistemas de víctimas a través de sesiones legítimas de 2FA existentes. “
RDFSNIFFER con función RAT
RDFSNIFFER descartado por BOOSTWRITE que permite a un atacante manipular las conexiones legítimas a través de RDFClient y alterar la DLL para secuestrar elementos de su interfaz de usuario.
“Este módulo también contiene un componente de puerta trasera que le permite inyectar comandos en una sesión activa de RDFClient. Esta puerta trasera permite que un atacante cargue, descargue, ejecute y / o elimine archivos arbitrarios ”
Evadir la detección
La investigación de Mandiant identificó que BOOSTWRITE se firmó utilizando un certificado de firma de código emitido por MANGO ENTERPRISE LIMITED y se cargó en VirusTotal el 3 de octubre .
“No es una técnica completamente nueva para FIN7 ya que el grupo ha utilizado certificados digitales en el pasado para firmar sus documentos de phishing , puertas traseras y herramientas de etapas posteriores”, dijo FireEye.
Los investigadores creen que los actores detrás de estas herramientas están alterando activamente este malware para evitar los mecanismos de detección tradicionales.
FIN7 aumenta sus posibilidades de evitar varios controles de seguridad y comprometer con éxito a las víctimas explotando la confianza, inherentemente proporcionada por los certificados de código.