Специалисты компании FireEye совместно с экспертами Mandiant обнаружили новый вид сложного вредоносного ПО, предназначенного для хищения данных с кредитных карт. Вредонос, получивший наименование Nemesis, обладает возможностью запуска вредоносного кода раньше кода операционной системы благодаря чему может контролировать процесс загрузки ОС. По свидетельствам экспертов, вредоносное ПО довольно сложно обнаружить и удалить даже после переустановки системы.
По данным FireEye, автором Nemesis является хакерская группировка FIN1, базирующаяся в России или русскоязычной стране. Группировка известна атаками, направленными на хищение данных кредитных карт и другой важной финансовой информации. Экосистема Nemesis включает бэкдоры с поддержкой ряда сетевых протоколов и каналов связи с C&C-сервером. Платформа обладает широким функционалом, в том числе возможностью передачи файлов, отправки снимка экрана, может работать в качестве кейлоггера, планировщика задач и пр.
После инфицирования целевой системы злоумышленники постоянно обновляют функционал Nemesis. К примеру, в одном из случаев преступники добавили утилиту, модифицирующую главную загрузочную запись (Volume Boot Record). Таким образом хакерам удалось загрузить компоненты вредоносного ПО перед загрузкой ОС Windows. Буткит (Bootkit) – вредоносная программа (так называемая MBR-руткит), осуществляющая модификацию загрузочного сектора MBR (Master Boot Record) – первого физического сектора на жестком диске. Используется вредоносами для получения максимальных привилегий в операционных системах. (FireEye/NovostIT)