Categories: Tech

Moonbounce, o malware perigoso que se esconde na memória flash das placas-mãe

Os investigadores da Kaspersky descobriram, pela segunda vez, uma raiz UEFI particularmente oculta, porque ela pode se esconder no chip SPI Flash da placa-mãe do PC. Isso permite que o código malicioso permaneça persistente no dispositivo de destino, mesmo que o sistema operacional tenha sido reinstalado ou o disco rígido tenha sido alterado. Essa abordagem já foi vista mosaicoum rootkit que foi descoberto pela Kaspersky em outubro de 2020. Também estava localizado em LOJAXuma raiz concreta revelada por pesquisadores da Eset em 2018.

Veja também o vídeo:

Nestes dois exemplos anteriores, o código malicioso foi inserido no firmware do chip SPI na forma de um driver. Nesta nova versão, que a Kaspersky chamou de MoonBounce, ele está integrado ao módulo de firmware existente (CORE_DXE) e, portanto, é mais preciso e mais difícil de detectar.

O objetivo, porém, continua o mesmo. Isso inclui seqüestrar o procedimento de inicialização para infectar o sistema operacional. No caso do MoonBounce, isso resulta na criação de um malware no espaço de memória do kernel do Windows, que permite aos hackers injetar malware no processo legítimo svchost.exe. Esse malware se conectará aos servidores de Comando e Controle (C&C) para baixar e instalar outros malwares. O sistema então se encontra sob o controle de hackers, cujo objetivo era claramente encontrar e infiltrar dados confidenciais.

Com base em várias evidências técnicas – o tipo de malware implantado durante a cadeia de infecção e o uso de um certificado específico para comunicações de comando e controle – os pesquisadores da Kaspersky acreditam que o MoonBounce é alimentado por APT41também conhecido como Winnti, é um grupo de hackers chinês conhecido por seus ataques a cadeias de suprimentos de software (CCleanerAsus). Essa customização é feita com Confiança média a altadiz Kaspersky.

No entanto, como esses rootkits entraram no chip SPI permanece um mistério. Os pesquisadores levantam a hipótese, no entanto, de que essa infecção ocorreu remotamente.

fonte: Kaspersky

Share
Published by
Genevieve Goodman

Recent Posts

Brasil abre o baile para as crianças

Criar uma conta Habilite o JavaScript no seu navegador para acessar o cadastro em…

2 semanas ago

Escolhendo o relé térmico certo para a proteção ideal do motor

Os motores elétricos servem como a espinha dorsal das operações industriais, impulsionando uma infinidade de…

4 semanas ago

“Nenhum filme sozinho pode proteger os povos indígenas”

René Nader Misura e João Salaviza retratam incansavelmente a resistência Krahu no Nordeste do Brasil.…

1 mês ago

Usando excitações atômicas para medir a rotação do espaço-tempo

A taxa de excitação de átomos sob diferentes valores de ohm. Fonte: Arksif (2024). doi:…

2 meses ago

Samsung Electronics anuncia SDC24, marcando uma década de inovação aberta e destacando inovações em IA

Desenvolvedores, parceiros e clientes estão convidados a participar da Samsung Developer Conference 2024 pessoalmente ou…

2 meses ago

Kamala Harris na CNN: Entre a cautela e a admissão de fraqueza

essa noite, Kamala Harris finalmente dá sua primeira entrevista com Dana Bash na CNN. Mas…

2 meses ago