Le groupe Cybercriminel FIN7 tente de se relancer avec de nouveaux malwares

Au cours de plusieurs interventions récentes de réponse à incident, les enquêteurs de FireEye Mandiant ont découvert de nouveaux outils dans l’arsenal de malwares de FIN7 et ont observé l’adoption par ce groupe mondial de cybercriminels de nouvelles techniques d’évasion. Dans ce blog, ils révèlent deux des nouveaux outils de FIN7 qu’ils ont baptisé BOOSTWRITE et RDFSNIFFER. Le premier des nouveaux outils de FIN7 est BOOSWRITE – un ‘dropper’ en mémoire qui déchiffre des contenus embarqués en utilisant une clé de chiffrement obtenue à partir d’un serveur à distance en runtime. FIN7 a été observé apportant de légères modifications à cette famille de logiciels malveillants en utilisant plusieurs méthodes pour éviter la détection d’antivirus traditionnels, y compris un échantillon de BOOSWRITE dans lequel le ‘dropper’ était signé par un certificat valide. L’une des variantes BOOSWRITE analysée hébergeait deux contenus : CARBANAK et RDSNIFFER. Bien que CARBANAK ait été analysé en détail et utilisé de manière malveillante par plusieurs groupes de criminels financiers, dont FIN7, RDSNIFFER est un outil récemment identifié et récupéré par les enquêteurs de Mandiant. ____ Pour plus d’informations, consultez : https://www.fireeye.com/blog/threat-research/2019/10/mahalo-fin7-responding-to-new-tools-and-techniques.html