FIN7 tente de se relancer avec de nouveaux malwares et de nouvelles techniques.
Le nouveau rapport décrit de nouveaux outils que les consultant FireEye Mandiant ont détectés lors de récentes enquêtes de réponse à incident. Sont notamment détaillés deux nouveaux outils de FIN7 (Le groupe Cybercriminel FIN7 spécialisé dans les attaques d’entreprises afin d’avoir accès à leurs données financières) qu’ils ont baptisé BOOSTWRITE et RDFSNIFFER.
Au cours de plusieurs interventions récentes de réponse à incident, les enquêteurs de FireEye Mandiant ont découvert de nouveaux outils dans l’arsenal de malwares de FIN7 et ont observé l’adoption par ce groupe mondial de cyber criminels de nouvelles techniques d’évasion. Dans ce blog, ils révèlent deux des nouveaux outils deFIN7 que nous avons baptisés BOOSWRITE et RDFSNIFFER.
Le premier des nouveaux outils de FIN7 est BOOSWRITE – un ‘dropper’ en mémoire qui déchiffre des contenus embarqués en utilisant une clé de chiffrement obtenue à partir d’un serveur à distance en runtime. FIN7 a été observé apportant de légères modifications à cette famille de logiciels malveillants en utilisant plusieurs méthodes pour éviter la détection d’antivirus traditionnels, y compris un échantillon de BOOSWRITE dans lequel le ‘dropper’ était signé par un certificat valide. L’une des variantes BOOSWRITE analysée hébergeait deux contenus : CARBANAK et RDSNIFFER. Bien que CARBANAK ait été analysé en détail et utilisé de manière malveillante par plusieurs groupes de criminels financiers, dont FIN7, RDSNIFFER est un outil récemment identifié et récupéré par les enquêteurs de Mandiant.
Pour plus d’informations, consultez : https://www.fireeye.com/blog/threat-research/2019/10/mahalo-fin7-responding-to-new-tools-and-techniques.html