Что за файл facefoduninstaller

Обновлено: 04.07.2024

Читайте, что собой представляет файл desktop.ini, что будет если его удалить и как это сделать . Развитие компьютерных технологий не стоит на месте и ежедневно продвигается вперед гигантскими темпами. Создаются новые виды материалов, применяются передовые нанотехнологии, что в свою очередь позволяет разработать новые виды комплектующих для компьютерных устройств.

Применение современных материалов и технологий существенно уменьшает размеры новых устройств и значительно увеличивает их быстродействие и производительность. Создание новых видов компьютерных устройств требует разработки продвинутых инструментов управления и контроля за ними. Основным элементом таких инструментов является современные версии программного обеспечения. Корпорация «Microsoft» , являющаяся крупнейшим разработчиком компьютерных программ и создавшая операционную систему «Windows» , старается максимально быстро реагировать на все возрастающие требования к элементам управления компьютерами. Современные скоростные процессоры, мощнейшие высокопроизводительные видеокарты, высокоемкостные дисковые накопители данных, «Ultra HD 4K» мониторы высокой четкости и т.д. предоставляют широкие возможности использования и требуют наличия улучшенного программного обеспечения для полноценного применения.

Операционная система «Windows» соответствует всем предъявляемым требованиям и предоставляет компьютерному пользователю широкие возможности по персонализации собственного компьютера под свои личные предпочтения. Использование различных видов тем оформления рабочего стола и изображений высокой четкости, изменение стиля графического интерфейса, звуков, папок, применение специальных возможностей и т.д. позволяет получить персональный компьютер, полностью удовлетворяющий потребностям пользователя в каждый конкретный момент. Однако использование высокопроизводительных компьютеров заставляет операционную систему создавать определенные файлы, которые зарезервированы самой системой «Windows» для собственных нужд. Существуют много видов таких файлов и они выполняют различные операции: от самых простых (например, счетчик времени) до самых сложных (например, сохранение конфигурации данных оперативной памяти). В основном, эти системные файлы являются скрытыми и не отражаются в системных папках в стандартных настройках системы.

Реверс малвари

Специалисты Fortinet заметили, что хак-группа FIN7 с недавних пор использует новый загрузчик, BIOLOAD, похожий на другой загрузчик группы, BOOSTWRITE, однако имеющий более низкую степень обнаружения. С его помощью злоумышленники распространяют обновленные версии бэкдора Carbanak, датированные январем и апрелем 2019 года.

Напомню, что группа FIN7 активна с середины 2015 года. Ее участников подозревают в атаках на американские компании из сегмента ритейла, а также ресторанно-гостиничного бизнеса. FIN7 активно сотрудничает с группой Carbanak: злоумышленники обмениваются инструментами и методами атак, в результате чего между группировками можно поставить своеобразный «знак равенства». Невзирая на арест лидеров FIN7, произведенный в августе 2018 года, атаки группы по-прежнему продолжаются.

Исследователи Fortinet пишут, что BIOLOAD, равно как и BOOSTWRITE, использует технику, которую называют binary planting, то есть он злоупотребляет легитимной функциональностью Windows в поисках DLL, необходимых для загрузки программ. Так, в последнее время вредоносные DLL обнаруживаются в составе FaceFodUninstaller.exe, файла, присутствующего в ОС сразу после установки (в Windows 10 1803 и далее). Этот исполняемый файл привлекает злоумышленников еще и потому, что он запускается из запланированной задачи FODCleanupTask, что позволяет дополнительно снизить степень обнаружения.

Атакующие помещают вредоносный WinBio.dll в папку \System32\WinBioPlugIns, где по идее располагается легитимный DLL winbio.


Согласно анализу Fortinet, образцы BIOLOAD датированы матом и июлем 2019 года, тогда как BOOSTWRITE датирован маем текущего года. Хотя загрузчик существует уже по меньшей мере девять месяцев, согласно VirusTotal, его пока обнаруживают далеко не все защитные решения.

Помимо сходств исследователи обнаружили и некоторые различия между загрузчиками. К примеру, BIOLOAD не поддерживает работу с несколькими пейлоадами, а также для расшифровки полезной нагрузки используется XOR вместо ChaCha. Кроме того, BIOLOAD не обращается к удаленному серверу за ключом дешифрования, так как ключ кастомизируется для каждой системы-жертвы и напрямую связан с ее именем.

В свою очередь, обновленные образцы Carbanak отчаются тем, что проверяют зараженную машину на присутствие большего числа различных антивирусных решений (раньше малварь искала только продукты Kaspersky, AVG и TrendMicro).

Также аналитики отмечаю, что FIN7 активно разрабатывает инструменты для удаления своей малвари с зараженных машин. И если BIOLOAD использовался для загрузки Carbanak, то более BOOSTWRITE также применялся для доставки RDFSNIFFER, инструмента удаленного доступа, который используется для компрометации NCR Aloha Command Center Client и взаимодействия с системами-жертвами в рамках легитимных сессий, защищенных 2ФА.

Группировка FIN7 использует новый дроппер для установки бэкдора Carbanak

Исследователи вредоносных программ наткнулись на новый инструмент финансово ориентированной киберпреступной группировки FIN7. С помощью этого инструмента злоумышленники загружают свежие версии бэкдора Carbanak.

Загрузчику присвоили имя BIOLOAD, на сегодняшний день его детектирует лишь малый процент защитных решений. Частично он похож на BOOSTWRITE, другую утилиты группы FIN7.

Новый вредонос в процессе своей работы задействует метод Windows, согласно которому операционная система ищет библиотеки DLL для последующей загрузки в программу. В этом случае атакующий может повысить свои права в системе и ещё плотнее внедриться в систему.

Платформа Fortinet enSilo для защиты конечных точек заблокировала вредоносную нагрузку в абсолютно легитимных процессах Windows. Если говорить конкретнее, защитное решение детектировало злонамеренную DLL в FaceFodUninstaller.exe — этот файл присутствует на всех чистых инсталляциях ОС, начиная с Windows 10 1803.

«Что ещё привлекает преступников в этой схеме — исполняемый файл стартует от встроенного запланированного задания под названием FODCleanupTask. Таким образом, детектирование вредоноса существенно затрудняется», — описывает угрозу Fortinet.

Киберпреступники помещают вредоносную библиотеку WinBio.dll в директорию \System32\WinBioPlugIns, в которой обычно хранится легитимная winbio.dll.


В настоящий момент 68 антивирусных программ в сервисе VirusTotal детектирует BIOLOAD в библиотеке WinBio.dll.


Что касается зловреда, который дроппер устанавливает в систему, — это версия бэкдора Carbanak, датируемая январём и апрелем 2019 года.

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Взломанные IIS-серверы пугают устаревшим сертификатом и устанавливают RAT

Маячок Cobalt Strike портирован на Linux, используется в атаках

Кибергруппировка Groove слила 500 тыс. учётных данных от Fortinet VPN

Обзор Fortify Integration Ecosystem, комплексной платформы безопасности приложений

Большинство продавцов доступа по SS7 в даркнете — мошенники

Исследователи из британской компании SOS Intelligence изучили теневой рынок услуг по взлому SS7-сетей и пришли к выводу, что он очень скромен, а провайдеры ненадежны. В то же время спрос на готовый доступ к системам телефонии имеется, но такие заявители, похоже, довольствуются предложениями на закрытых форумах.

Поиск по даркнету, проведенный в SOS Intelligence, вернул 84 onion-сайта, предлагающих услуги по взлому SS7.


Отсеивание по дате создания позволило актуализировать выборку и значительно сократить количество объектов для изучения. В итоге оказалось, что таких эксплойт-сервисов всего четыре: SS7 Exploiter, SS7 ONLINE Exploiter, SS7 Hack и Dark Fox Market.

Списки заявленных услуг при этом включали следующие позиции:

Внешних ссылок на эти сервисы в даркнете было совсем мало, что могло говорить о неблагонадежности провайдеров. Анализ показал, что и оформление сайтов неубедительно.

Сервис SS7 Exploiter, например, предлагал просмотреть деморолик, в котором три минуты из 5:23 говорилось о том, как покупать биткоины и платить за услуги. Сайты SS7 ONLINE Exploiter выглядели, как клоны SS7 Exploiter, а SS7 Hack был скопирован с сайта, появившегося в открытом интернете в этом году. Более того, на момент публикации результатов исследования все ресурсы SS7 Hack были отключены.

Площадка Dark Fox Market помимо взлома SS7 предлагает и другие услуги, в том числе DDoS и RaaS (шифровальщик напрокат). Ее деморолик о взломе Telegram-аккаунта позаимствован с YouTube, где его опубликовали еще в 2016 году.

Тем не менее, содержимое криптокошельков этих сервис-провайдеров говорило о том, что они неплохо зарабатывают.

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Вредонос обладает хорошей защитой от обнаружения и имеет сходство с загрузчиком BOOSTWRITE.

Киберпреступная группировка FIN7 вооружилась новым инструментом BIOLOAD, используемым для загрузки более актуальных версий бэкдора Carbanak. Вредонос обладает хорошей защитой от обнаружения и имеет сходство с BOOSTWRITE, другим загрузчиком в арсенале FIN7.

BIOLOAD использует технику бинарной установки, эксплуатирующую метод в Windows для поиска DLL-библиотек. Таким образом злоумышленник может повысить привилегии в системе или обеспечить персистентность.

Исследователи безопасности из компании Fortinet обнаружили вредоносную DLL-библиотеку в легитимном процессе FaceFodUninstaller.exe, реализованном в чистых установках ОС Windows, начиная с Windows 10 (1803). Злоумышленники размещают вредоносный файл WinBio.dll в папку «\System32\WinBioPlugIns», в которой находится легитимная DLL-библиотека «winbio».

Специалисты обнаружили сходство между BIOLOAD и BOOSTWRITE. Загрузчик BOOSTWRITE использует технику перехвата поиска DLL (DLL Search Order Hijacking) для загрузки собственных вредоносных DLL-библиотек в память зараженной системы, а затем загружает вектор инициализации и ключ, необходимый для дешифрования встроенных полезных нагрузок.

Исследователи также заметили некоторые различия. BIOLOAD не поддерживает множественные полезные нагрузки, а также использует энкодер XOR для расшифровки полезной нагрузки вместо шифра ChaCha. Соединение с удаленным сервером для получения ключа дешифрования также не происходит в случае с BIOLOAD, поскольку он настраивается для каждой системы жертвы и получает ключ дешифрования от ее имени.

Как предполагают эксперты, основываясь на датах компиляции вредоносного ПО и его поведении, данный загрузчик является предшественником BOOSTWRITE.

Обнаруженная вредоносная программа демонстрирует, что FIN7 активно разрабатывает инструменты для загрузки своих бэкдоров. В то время как BIOLOAD использовался для загрузки Carbanak на зараженный хост, более свежий загрузчик BOOSTWRITE использовался для загрузки инструмента удаленного доступа RDFSNIFFER для «взлома» клиентского приложения NCR Aloha Command Center и взаимодействия с системами-жертвами посредством двухфакторной аутентификации.

Читайте также: