Os investigadores da Kaspersky descobriram, pela segunda vez, uma raiz UEFI particularmente oculta, porque ela pode se esconder no chip SPI Flash da placa-mãe do PC. Isso permite que o código malicioso permaneça persistente no dispositivo de destino, mesmo que o sistema operacional tenha sido reinstalado ou o disco rígido tenha sido alterado. Essa abordagem já foi vista mosaicoum rootkit que foi descoberto pela Kaspersky em outubro de 2020. Também estava localizado em LOJAXuma raiz concreta revelada por pesquisadores da Eset em 2018.
Veja também o vídeo:
Nestes dois exemplos anteriores, o código malicioso foi inserido no firmware do chip SPI na forma de um driver. Nesta nova versão, que a Kaspersky chamou de MoonBounce, ele está integrado ao módulo de firmware existente (CORE_DXE) e, portanto, é mais preciso e mais difícil de detectar.
O objetivo, porém, continua o mesmo. Isso inclui seqüestrar o procedimento de inicialização para infectar o sistema operacional. No caso do MoonBounce, isso resulta na criação de um malware no espaço de memória do kernel do Windows, que permite aos hackers injetar malware no processo legítimo svchost.exe. Esse malware se conectará aos servidores de Comando e Controle (C&C) para baixar e instalar outros malwares. O sistema então se encontra sob o controle de hackers, cujo objetivo era claramente encontrar e infiltrar dados confidenciais.
Com base em várias evidências técnicas – o tipo de malware implantado durante a cadeia de infecção e o uso de um certificado específico para comunicações de comando e controle – os pesquisadores da Kaspersky acreditam que o MoonBounce é alimentado por APT41também conhecido como Winnti, é um grupo de hackers chinês conhecido por seus ataques a cadeias de suprimentos de software (CCleanerAsus). Essa customização é feita com Confiança média a altadiz Kaspersky.
No entanto, como esses rootkits entraram no chip SPI permanece um mistério. Os pesquisadores levantam a hipótese, no entanto, de que essa infecção ocorreu remotamente.
fonte: Kaspersky