Investigadores de FireEye detectaron al grupo FIN1, cuyo objetivo son los datos de tarjetas de pago, utilizando un sofisticado malware llamado BOOTRASH, el cual se se ejecuta antes de iniciar el sistema operativo.

A principios de 2015 el grupo comenzó a usar una utilidad apodada BOOTRASH que modifica el Volume Boot Record  (VBR) y secuestra el proceso de arranque del sistema operativo para comenzar a cargar el malware llamado Nemesis en los componentes del ecosistema antes que el código del sistema operativo Windows, esto de acuerdo con un blog.

Para instalar BOOTRASH, el malware lleva a cabo un proceso complejo de múltiples pasos que incluye comprobaciones del sistema, cálculo del espacio disponible y creación de un sistema de archivos virtual, secuestrando el sector de arranque, la instalación de los componentes del ecosistema del malware y, en última instancia, el proceso de arranque.

"El objetivo es mantener la persistencia en los sistemas destino. El malware es único porque tiene un componente que se carga en el volumen de registro de inicio, por lo que es difícil de detectar y eliminar", dijo Wayne Crowder, director de inteligencia de amenazas de RiskAnalytics.

BOOTRASH también contiene una opción de desinstalación, en caso de que los atacantes quieran quitar el proceso secuestrado. El proceso restaurará el sector de arranque original pero no eliminará el sistema de archivos virtual personalizado o la copia de seguridad del VBR que el malware ha creado, se dijo en el mensaje de FireEye.

Los investigadores dijeron en el blog del grupo que también utiliza una técnica poco frecuente, conocida como bootkit, para infectar a los componentes del sistema de nivel inferior, por lo que es muy difícil de identificar y detectar.

El bootkit es difícil de detectar ya que tiene el potencial de ser instalado y ejecutado casi completamente fuera del sistema operativo Windows, por lo que es indetectable a los controles típicos de integridad del sistema operativo.

La ubicación de la instalación del malware le permite persistir incluso después de que un usuario vuelve a instalar el sistema operativo, que es ampliamente considerado como la forma más eficaz para erradicar malware, dijo el blog.

Los investigadores recomiendan a los responsables de respuesta a incidentes utilizar herramientas que pueden acceder y buscar en discos en bruto para realizar pruebas de bootkits; y a los administradores de sistemas se les aconseja realizar un examen físico y un completo borrado del sistema comprometido antes de volver a cargar nuevamente el sistema operativo.

"El grupo parece estar organizado y va a hacer lo que sea necesario para mantenerse por delante de los controles de seguridad que puedan estar en su lugar para detectar o bloquear su actividad maliciosa. El reparto de los Indicadores de Compromiso (COI por sus siglas en inglés) es una cuestión oportuna y crucial para detectar otras infecciones y detener la propagación de estas tácticas", dijo Crowder.

Crowder también mencionó que una defensa de múltiples capas sería la mejor manera de que un usuario evite la infección.