Um malware que infete diretamente a BIOS ou UEFI do sistema é uma das maiores ameaças que se pode encontrar. Mas parece que foi exatamente isso que um grupo de investigadores da empresa de segurança Kaspersky revelaram ter descoberto.
Apelidado de MoonBounce, o bootkit é uma espécie de malware que, invés de infetar o sistema operativo, passa diretamente por infetar o UEFI da máquina. Ao contrário do que outros malwares do género realizam, o MoonBounce não infeta apenas o disco rígido, mas sim a própria motherboard e memória desta.
Ou seja, por outras palavras, o malware pode permanecer ativo até mesmo se os utilizadores formatarem o disco, reinstalarem o sistema ou até trocarem o disco por outro completamente novo. A única forma de “remover” o mesmo passa por realizar o reflash da memória da BIOS ou trocar de motherboard.
Como este infeta diretamente a memória SPI, uma parte da motherboard usada para armazenar os dados da UEFI, não existe uma forma clara de proteger contra este ataque, e tão pouco de resolver o mesmo.
Os investigadores acreditam que o MoonBounce terá sido criado por grupos chineses, possivelmente com foco para sistemas de espionagem de empresas. Uma das possibilidades encontra-se para o facto que o malware tenha sido criado pelo grupo conhecido como “APT41”, o qual possui relações diretas com o governo da China.
Os investigadores acreditam neste facto devido a que as comunicações feitas pelo malware para servidores de controlo passam pelas mesmas infraestruturas que o grupo APT41 usa para as suas atividades maliciosas.
A recomendação principal para prevenir este ataque passa por manter a UEFI atualizada sobre a versão mais recente fornecida pelos fabricantes, bem como ativar o sistema de BootGuard e Trust Platform Modules quando possível.
Nenhum comentário
Seja o primeiro!