Группа хакеров взяла на вооружение похитителя платежных данных, обладающего функционалом буткита. Из-за этого зловреда трудно обнаружить и не менее тяжело удалить.

В минувший понедельник FireEye и Mandiant поделились своими находками, связанными с FIN1 — криминальной группой предположительно российского происхождения. Используемый ею зловред был обнаружен в сентябре, в ходе расследования киберинцидента в неназванной финансовой организации.

Со слов исследователей, FIN1 располагает богатым набором инструментов, объединенных в экосистему Nemesis: бэкдоров, вредоносных файлов, средств вторжения в систему и извлечения данных платежных карт. Nemesis также обладает всеми возможностями современных финансовых зловредов: умеет регистрировать клавиатурный ввод, делать скриншоты и манипулировать процессами.

В текущем году боекомплект Nemesis пополнился утилитой, которую исследователи нарекли BOOTRASH; она способна изменять процесс начальной загрузки системы. «В начале 2015 года FIN1 обновила свой инструментарий, добавив утилиту, которая модифицирует легитимную загрузочную запись тома (VBR) и осуществляет перехват процесса начального запуска системы, чтобы компоненты Nemesis могли загрузиться до загрузки кода Windows», — поясняют исследователи в блоге FireEye.

Главная загрузочная запись обычно предусматривает загрузку VBR, которая, в свою очередь, грузит код операционной системы. BOOTRASH нарушает этот порядок, обеспечивая Nemesis приоритет при начальном запуске. Поскольку загрузка BOOTRASH происходит вне операционной системы, она не подвергается проверке на целостность данных. Сканирование компонентов антивирусом также не производится, что помогает зловреду избежать обнаружения.

«Единственное место, где может быть обнаружено вредоносное ПО, — это оперативная память, — констатируют эксперты. — Пока буткит и компоненты виртуальной файловой системы не удалены, зловред будет исполняться и грузиться при каждом старте системы».

По данным Mandiant и FireEye, группировка FIN1 и ранее занималась кражей  конфиденциальных данных финансовых организаций. Так, оказалось, что расследуемый инцидент — лишь верхушка айсберга, хакеры хозяйничают в сетях этой компании уже несколько лет.

Имя Nemesis («Немезида») всплыло в некоторых сборках зловреда. Языковые настройки ряда кастомных инструментов FIN1 позволяют предположить, что хакеры базируются в России или одной из стран, где в ходу русский язык.

Эксперты предупреждают, что из-за присутствия BOOTRASH проверка машин на зараженность в ходе расследования инцидента потребует специального инструментария, способного обнаружить признаки буткита поиском по сырым образам диска.

Как справедливо отметили в FireEye, атакующие MBR или VBR зловреды различны, но и те, и другие уже встречались ранее. Так, в 2013 году исследователи из RSA обнаружили на русскоязычном форуме рекламу троянца KINS, якобы способного изменять загрузочную запись тома и получать права доступа на уровне машины. Несколько ранее RSA попалась реклама версии банкера Carberp с заимствованным буткитом.

Категории: Аналитика, Вредоносные программы, Главное, Хакеры