Компания FireEye говорит об обнаружении новой версии известного семейства вредоносных приложений Nemesis, целью которого является кража данных платёжных карт и который крайне трудно обнаружить и удалить. Его авторами называется группа FIN1, которая известна атаками против финансовых организаций и, предположительно, находится в России или другой русскоязычной стране.
Вредоносное ПО затрагивает проводящие финансовые транзакции организации. Программа относится к категории буткитов (bootkit) и может остаться на жёстком диске даже после переустановки Windows. Ранее в этом году киберпреступники начали использовать затрагивающий 32- и 64-разрядные архитектуры модуль Bootrash, который меняет загрузочную запись тома (Volume Boot Records, VBR), используемую вместе с главной загрузочной записью (Master Boot Record, MBR). Именно MBR является первым сектором жёсткого диска, который используется перед загрузкой операционной системы.
Процесс нормальной загрузки против модифицированного при помощи Bootrash
Поскольку Bootrash выполняется до загрузки системы, он избегает проверки с её стороны и не сканируется антивирусами, храня свои компоненты за пределами файловой системы Windows. Буткит был обнаружен инструментом Mandiant Intelligent Response (MIR). Nemesis способен осуществлять скрытую передачу файлов, создание скриншотов экрана, фиксировать нажатие клавиш на клавиатуре, внедряться в системные процессы и даже осуществлять планирование для отложенного выполнения операций. При обнаружении рекомендуется выполнять полное физическое удаление операционных систем.