Los investigadores de seguridad de IBM dieron a conocer hace algunos días que detectaron una nueva familia de malware llamada “ZeroCleare”, creado por un grupo de hackers iraníes APT34 junto con xHunt, este malware está dirigido contra los sectores industrial y energético en el Medio Oriente. Los investigadores no revelan los nombres de las compañías víctimas, pero dedicaron un análisis del malware a un informe detallado de 28 páginas.
ZeroCleare afecta solamente a Windows ya que como su nombre lo describe la ruta de la base de datos del programa (PDB) de su archivo binario se usa para ejecutar un ataque destructivo que sobrescribe el registro de arranque maestro (MBR) y las particiones en máquinas Windows comprometidas.
ZeroCleare se cataloga como una malware con un comportamiento algo similar al de “Shamoon” (un malware del cual se habló mucho debido a que se utilizó para ataques a las compañías petroleras que datan de 2012) Aunque Shamoon y ZeroCleare tienen capacidades y comportamientos similares, los investigadores dicen que los dos son piezas de malware separadas y distintas.
Al igual que el malware Shamoon, ZeroCleare también utiliza un controlador de disco duro legítimo llamado “RawDisk by ElDos”, para sobrescribir el registro de arranque maestro (MBR) y las particiones de disco de las computadoras específicas que ejecutan Windows.
Aunque el controlador ElDos no está firmado, el malware logra ejecutarlo cargando un controlador de VirtualBox vulnerable pero no firmado, explotándolo para omitir el mecanismo de verificación de firma y cargar el controlador ElDos sin firmar.