FIN7 kibercinematik guruhi o'z tarkibiga yangi zararli vositani – yuklovchi, to'g'ridan-to'g'ri xotiraga etkazib beradigan yuklash vositasini qo'shdi.
Bundan tashqari, hujumchilarning arsenalida masofadan boshqarish uchun mo'ljallangan qonuniy ATM dasturiga kiritilgan modul paydo bo'ldi.
FireEye tadqiqotchilari guruhi buzib kiruvchi zararli dasturlarning bir nechta namunalarini topdilar va ularga BOOSTWRITE deb nom berishdi.
Shu bilan birga, FIN7 guruhidagi xakerlar bilan bog'langan Carbanak bekdorlari, shu jumladan, ko'plab peyloadlar xotiraga yuklanishi mumkin.
Bundan tashqari, BOOSTWRITE RAT-RDFSNIFFER zararli dasturini ATM tizimiga etkazib beradi.
Zararlantirish jarayonida zararlantiruvchi operatorlardan olingan shifrlash kalitlari yordamida peyloadni parolini chiqaradi.
Keyinchalik, BOOSTWRITE o'z DLL-ni infektsiyalangan bankomat xotirasiga yuklaydi. O'rnatilgan zararli tarkibiy qismlarning shifrini ochish uchun tegishli kalit kerak.
"Ko'rinishidan, foydali yuklamalar PE32.DLL kutubxonalari bo'lib, ular muvaffaqiyatli hujum qilinganida, fayl tizimiga tegmasdan ham xotiraga yuklanadi", - deb yozadilar mutaxassislar.
Namunalardan birini tahlil qilish jarayonida mutaxassislar yuklash vositasi tizimga ikkita zararli dasturni o'rnatganligini aniqladilar: Carbanak bekdori va yangi RDFSNIFFER moduli.
Eng yangi namunalar MANGO ENTERPRISE LIMITED tomonidan berilgan sertifikat bilan imzolangan. Virustotalda hech qanday antivirus vositasi bu namunalarda zararli moddalarni taniy olmadi.
Manbaa: https://www.anti-malware.ru/news/2019-10-14-1447/31038