Skip to main content

Nemesis: un nuovo malware bancario estremamente difficile da rilevare e rimuovere

La società di sicurezza FireEye ha pubblicato un rapporto su un sofisticato malware bancario che mira ad acquisire i dati di carte di pagamento. Mediante una tecnica piuttosto inusuale, detta “bootkit”, il malware infetta componenti del sistema a basso livello e viene eseguito prima dell’avvio del sistema operativo, cosa che lo rende molto difficile da rilevare e da rimuovere.

Questo malware, denominato Nemesis, è stato sviluppato da un gruppo di criminali informatici, soprannominato da FireEye “FIN1”, sospettato essere di origine russa e già noto per aver colpito in passato diverse istituzioni finanziarie, come banche, cooperative di credito, ATM (Automated Teller Machine) e compagnie che gestiscono transazioni finanziarie e servizi di business finanziari per le imprese.

Nemesis è in realtà un intero ecosistema di malware che include svariati componenti dotati di backdoor che supportano una varietà di protocolli di rete e di canali di comunicazione con i server C&C (Command and Control). Nemesis fornisce un ampio set di funzionalità, tra cui: trasferimento di file, cattura dello schermo, registrazione dei tasti premuti (keylogging), iniezione di codice nei processi attivi, manipolazione dei processi e pianificazione dei task.

Nei primi mesi del 2015, FIN1 ha aggiornato Nemesis includendo un componente, battezzato da FireEye BOOTRASH, che modifica il Volume Boot Record (VBR) della partizione primaria del disco di avvio, prendendo di fatto il controllo del processo di avvio del sistema stesso, in modo tale da lanciare i moduli software del malware prima del codice di Windows.

I moduli del malware vengono installati negli spazi non allocati tra le partizioni. Il codice malevolo di BOOTRASH, sovrascritto al codice di bootstrap del VBR originale, richiama il bootkit Nemesis, che a sua volta intercetta alcune funzioni del processo di avvio e inietta i componenti del malware nel kernel di Windows.

I bootkit come Nemesis sono molto difficili da individuare perché vengono installati ed eseguiti quasi completamente al di fuori del sistema operativo Windows. Poiché il bootloader malevolo viene eseguito prima che lo stesso Windows sia stato completamente caricato, non è soggetto ai controlli di integrità tipici del sistema operativo.

Inoltre, i componenti del malware non vengono analizzati dai normali software antivirus, in quanto sono memorizzati sia in un file system virtuale (VFS – Virtual File System) al di fuori del controllo del sistema operativo, sia nel registro di Windows, un’altra posizione tipicamente non controllata dagli antivirus.

Un malware di questo tipo risulta quindi altamente persistente, tale da resistere ad una completa reinstallazione del sistema operativo. L’unico modo per ripristinare l’operatività di una macchina infetta da un bootkit è quello di effettuare la formattazione completa a basso livello del disco rigido e successivamente reinstallare il sistema operativo.


    Iscriviti alla newsletter

    Rimani sempre aggiornato sulle ultime news.

    Ai sensi del Regolamento UE n. 2016/679 in materia di Protezione dei Dati Personali. Leggi l'informativa sulla Privacy policy.

    Sei sotto attacco?