リカバリーを実行しても駆除できないマルウェアを確認 - ファイア・アイ

ファイア・アイは12月11日、OS起動前に実行されるマルウェアを使用してカード決済情報を狙う攻撃を確認したと発表した。

攻撃は、「ブートキット(bootkit)」と呼ばれる特殊な手法を使用しており、下位レベルのシステムコンポーネントにマルウェアを感染させるというもの。端末によるマルウェアの特定・検出は非常に困難であり、万が一端末が感染した場合、OSの再インストールを実施してもマルウェアを削除できないという。同社は、「システム管理者がブートキットで感染したシステムの完全な物理的消去を実行してから、OSを再ロードする必要がある」と説明している。

攻撃は「FIN1」と呼ばれるグループによって行われている。このグループは、悪意あるファイルやユーティリティを多数展開しており、「Nemesis(ネメシス)」と呼ばれるマルウェア・エコシステムの構成要素となっている。

マルウェアが端末に侵入すると、まずシステムチェックを実施する。BOOTRASHインストーラのコピーがシステム上で実行されていないか、マルウェアの必須コンポーネントであるMicrosoft NET 3.5フレームワークがシステムにインストールされているかをチェックする。