Nemesis: Ameaça com Características de Malware Financeiro Ganha Capacidades de Bootkits

Um grupo de cybercriminosos que rouba principalmente dados de cartão de pagamento de organizações que oferecem serviços financeiros, adicionou um utilitário "bootkit" ao seu perigoso kit de ferramentas de malware. Esse novo recurso implementado, assegura a persistência de seu malware nos sistemas das organizações-alvo, mesmo depois que é feita a reinstalação do sistema operacional. Em face disso, os pesquisadores da FireEye identificaram o grupo como FIN1, e acreditam que ele esteja localizado em um país de idioma russo. Além disso, os pesquisadores também descobriram a sua presença durante uma investigação recente, realizada em uma organização da indústria financeira, cuja identificação ainda é desconhecida. Em meio ao cenário ameaçador, "Nemesis", o ecossistema de malware usado por FIN1, inclui backdoors abrangentes que suportam uma variedade de protocolos de rede e canais de comunicação para o centro de comando e controle. Ele fornece um conjunto robusto de recursos, incluindo: transferência de arquivo, captura de tela, keystroke logging, process injection, process manipulation e task scheduling.


O grupo criminoso atualiza continuamente o malware Nemesis durante o seu acesso contínuo ao ambiente de suas vítimas, implantando diversas variantes diferentes das mesmas ferramentas e adicionando funcionalidades entre as iterações. No início de 2015, FIN1 atualizou o seu conjunto de ferramentas para incluir um utilitário que modifica o volume do sistema legítimo Boot Record (VBR) e seqüestra o processo de inicialização do sistema para começar a carregar componentes Nemesis, antes do código do sistema operacional Windows. Nós nos referimos a este utilitário como Bootrash.


Saiba Mais:

[1] Net Security http://www.net-security.org/malware_news.php?id=3173