s0415-boostwrite - RunkIntel

# BOOSTWRITE > Tipo: **malware** · S0415 · [MITRE ATT&CK](https://attack.mitre.org/software/S0415) ## Descrição [[s0415-boostwrite|BOOSTWRITE]] é um loader desenvolvido para ser executado por meio do abuso da ordem de busca de DLL (DLL Search Order Hijacking - T1574.001) de aplicações usadas pelo [[g0046-fin7|FIN7]] (também conhecido como Carbanak Group, ITG14). O malware foi identificado em ataques a empresas do setor de hospitalidade e varejo nos EUA em 2019, sendo utilizado como mecanismo de persistência e carregamento de payloads secundários como [[g0008-carbanak|Carbanak]] e RDFSNIFFER. O [[s0415-boostwrite|BOOSTWRITE]] não possui persistência própria - ele se apoia na execução de aplicações legítimas que carregam DLLs a partir de diretórios onde o atacante posicionou a DLL maliciosa. O loader descomprime e executa múltiplos payloads em memória, utilizando chave de criptografia obtida de servidor remoto no momento da execução (T1027.013), o que impede análise estática do payload sem acesso ao servidor C2. Usa módulos compartilhados (T1129) e válida assinaturas de código de componentes legítimos (T1553.002) para aumentar a credibilidade durante análise. A atribuição ao [[g0046-fin7|FIN7]] é sustentada por sobreposições com infraestrutura e ferramentas conhecidas do grupo, especialmente o uso conjunto com [[g0008-carbanak|Carbanak]] em intrusões documentadas. O [[g0046-fin7|FIN7]] é responsável por bilhões de dólares em perdas financeiras globais através de ataques a sistemas de ponto de venda, roubo de dados de cartões e fraude financeira, tornando o [[s0415-boostwrite|BOOSTWRITE]] uma ferramenta central em seu arsenal de acesso persistente. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] - [[t1553-002-code-signing|T1553.002 - Code Signing]] - [[t1129-shared-modules|T1129 - Shared Modules]] - [[t1574-001-dll|T1574.001 - DLL]] ## Grupos que Usam - [[g0046-fin7|FIN7]] ## Detecção - **Sysmon Event ID 7** (Image Load): monitorar DLLs carregadas de diretórios de aplicação (não System32) com nomes que coincidem com DLLs legítimas do sistema como indicador de DLL Hijacking (T1574.001) - **Sysmon Event ID 3** (Network Connection): detectar conexões de rede saindo durante carregamento inicial de aplicação para obtenção de chave de decriptografia C2 - **EDR**: alertar em execução de módulos compartilhados não assinados (T1129) carregados por aplicações legítimas de terceiros; monitorar tentativas de válidação de assinatura de código (T1553.002) em contextos incomuns - **Referência Sigma**: `image_load_win_dll_hijacking_known_locations.yml` (Sigma HQ) para detecção de DLL Hijacking em locais conhecidos ## Relevância LATAM/Brasil O [[g0046-fin7|FIN7]] possui histórico documentado de ataques a cadeias de varejo e hospitalidade na América Latina, tornando o [[s0415-boostwrite|BOOSTWRITE]] uma ameaça direta para empresas brasileiras dos setores de restaurantes, hotéis e varejo que utilizam sistemas de ponto de venda Windows. O modelo de ataque do [[g0046-fin7|FIN7]] - comprometimento de fornecedores de software de PDV, spear-phishing de funcionários de RH e uso de DLL Hijacking - é replicável em ambientes corporativos brasileiros. Analistas de SOC devem monitorar DLL Hijacking em aplicações de gestão comercial populares no Brasil. ## Referências - [MITRE ATT&CK - S0415](https://attack.mitre.org/software/S0415)