Windows pre-boot malware predstavlja veliku opasnost za financijsku industriju

Pre-boot malware ili bootkit može zaraziti lower-level sistemske komponente, što dodatno otežava mogućnost identificiranja. Jedan od problema je i što je otporan i ne može se maknuti reinstalacijom Windowsa.

"Identificirali smo prisutnost financijski motivirane opasne grupe koju pratimo kao FIN1, čije aktivnosti na organizaciju traju od prije nekoliko godina" - izvjestio je FireEye u službenom izvješću.

Nadodao je kako grupa koristi razne štetne datoteke i alate koji su dio malware ekosistema znan kao "Nemesis". Ovaj malware korišten je kako bi se dobio pristup podacima korisniku kartice, a sama grupa poznata je po krađi podataka koji se lako monetiziraju iz financijskih organizacija kao što su banke, kreditne zadruge itd.

Početkom 2015. grupa je modificirala Nemesisa koji je mogao ukrasti procese pokretanja sustava kako bi učitavao malware komponente. FireEye je to nazvao Bootrash, a njegov installer radi na bilo kojem driveu koji ima Master Boot Record, ali ne GUID Partition Table arhitekturu i Secure Boot.

Malware treba .NET 3.5 ili kasniji framework da bi radio, što predstavlja veliku slabost. Sam FireEye je rekao kako bootkitovi nisu česti i kako su meta financijska industrija, te da prava solucija protiv ovoga je korištenje alata koji ima pristup i pretragu raw diskova ili fizičko micanje diskova prije instaliranje sustava.