Новый вредонос Nemesis предназначен для хищения средств с банковских карт

Специалисты компании FireEye совместно с экспертами Mandiant обнаружили новый вид сложного вредоносного ПО, предназначенного для хищения данных с кредитных карт.

Вредонос, получивший наименование Nemesis, обладает возможностью запуска вредоносного кода раньше кода операционной системы благодаря чему может контролировать процесс загрузки ОС. По свидетельствам экспертов, вредоносное ПО довольно сложно обнаружить и удалить даже после переустановки системы.

По данным FireEye, автором Nemesis является хакерская группировка FIN1, базирующаяся в России или русскоязычной стране. Группировка известна атаками, направленными на хищение данных кредитных карт и другой важной финансовой информации.

Экосистема Nemesis включает бэкдоры с поддержкой ряда сетевых протоколов и каналов связи с C&C-сервером. Платформа обладает широким функционалом, в том числе возможностью передачи файлов, отправки снимка экрана, может работать в качестве кейлоггера, планировщика задач и пр.

После инфицирования целевой системы злоумышленники постоянно обновляют функционал Nemesis. К примеру, в одном из случаев преступники добавили утилиту, модифицирующую главную загрузочную запись (Volume Boot Record). Таким образом хакерам удалось загрузить компоненты вредоносного ПО перед загрузкой ОС Windows.

Буткит (Bootkit) - вредоносная программа (так называемая MBR-руткит), осуществляющая модификацию загрузочного сектора MBR (Master Boot Record) - первого физического сектора на жестком диске. Используется вредоносами для получения максимальных привилегий в операционных системах.