NEMESIS: Malware persistente que afecta al sector financiero instalando un BOOTRASH en el MBR

Un grupo de atacantes utiliza un malware financiero que tiene la funcionalidad de bootkit, lo cual dificulta su detección y, aún más, su eliminación.

FIN1 es el grupo detrás del malware, según los investigadores de las firmas FireEye y Mandiant, que describieron el grupo en septiembre, mientras realizaban una investigación en una organización financiera.

FIN1 mantiene un ecosistema de malware bastante completo, Némesis, una cornucopia de malware, puertas traseras, archivos y utilerías públicas que utiliza para infiltrarse en los sistemas y así extraer datos de los tarjetahabientes, según los investigadores. Como la mayoría del malware financiero, Némesis está repleto de capacidades, incluyendo transferencia de archivos, un keylogger, capturas de pantalla y la manipulación de procesos.

No fue hasta principios de 2015 que FIN1 agregó a Nemesis una funcionalidad conocida como BOOTRASH, que puede modificar el proceso de arranque de una máquina infectada.

“A principios de 2015, FIN1 actualizó sus herramientas para incluir una utilidad que modifica el sistema de volumen legítimo Boot Record (VBR) y secuestra el proceso de arranque del sistema para iniciar los componentes de carga de Nemesis antes del código del sistema operativo Windows”, escribieron los investigadores en la descripción del malware: (ver https://www.fireeye.com/blog/threat-research/2015/12/fin1-targets-boot-record.html)

El Master Boot Record normalmente carga el VBR, que a su vez carga el código del sistema operativo, pero BOOTRASH mezcla las cosas, por lo que se carga primero Nemesis y después el sistema operativo. Debido a que BOOTRASH se carga fuera del sistema operativo, no es objeto de controles de integridad ni sus componentes analizados por el antivirus; los investigadores afirman que esto ayuda a evadir la detección.

“Esto deja a la memoria viva como el único lugar donde es probable que se detecte el malware; y a menos que se eliminen los componentes de Bootkit y VFS, el malware se ejecuta y carga cada vez que se inicia el sistema”, afirman los investigadores.

Según Mandiant y FireEye, FIN1 ha demostró inclinación por robar información sensible de los equipos financieros en el pasado. De hecho, cuando observó la actividad del grupo en el sector financiero, los investigadores dedujeron que la actividad de la organización se remonta a varios años.

El nombre Nemesis hace referencia a un sin fin de caminos que puede tomar el malware, incluso en otros lugares, la configuración del idioma en algunas de sus herramientas personalizadas sugiere que los atacantes residen en Rusia o en un país de habla rusa.

Debido al sigilo de BOOTRASH, los investigadores recomiendan a los equipos de respuesta a incidentes verificar si ciertas máquinas están infectadas con este malware, para eso se necesitaría una herramienta especial para acceder y buscar en imágenes forenses de los discos evidencia de bootkits.

Ver información original al respecto en Fuente:
http://www.seguridad.unam.mx/noticia/?noti=2645