27 dic. 2015

BOOTRASH, Nemesis y FIN1, ecosistema de malware financiero

Recientemente Mandiant identificó un nuevo grupo de desarrollo de malware y APTs al que bautizó como FIN1. Ahora se ha encontrado un nuevo tipo de "bootkit" que se carga antes de que el sistema operativo Windows cargue, resultando muy difícil de identificar y/o de quitarlo.

Se cree que esta es una parte del ecosistema de malware llamado "Nemesis" desarrollado por FIN1, en el cual atacantes financieramente motivados buscar robar datos de tarjeta de crédito y débito y otras operaciones de ATMs. Este tipo de ataques se han visto en el pasado, pero esta vez, la cuestión parece real monstruosa. Esperamos que las instituciones financieras y Microsoft recuperarán antes de que sea demasiado tarde.

La investigación completa de la empresa Fireeye identificó estas actividades durante una investigación reciente en una organización del sector financiero. Némesis incluye puertas traseras, canales de comunicación para el C&C, captura de pantalla, registro de pulsaciones de tecla, proceso de inyección y programación de tareas. A principios del 2015, FIN1 actualizó sus herramientas para incluir una utilidad que modifica el registro de Volume Boot Record (VBR) para comenzar a cargar componentes de Nemesis antes de la carga del código del sistema operativo Windows. Esta utilidad se indentifó como BOOTRASH.

En Windows, la tabla de partición MBR es fundamental para el proceso de arranque y almacena información sobre el disco, la disposición de las particiones y una pequeña cantidad de código que se utiliza durante el proceso de arranque. Este código busca la partición primaria activa y pasa el control a la VBR.
La VBR se encuentra en el primer sector de una partición y contiene código máquina específico para ser reconocido por el sistema operativo. BOOTRASH se apropia de este proceso de arranque para cargar parte del código de Nemesis antes de la carga del sistema operativo.

Fuente: Fireeye

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!