Zelfs het vervangen van de harde schijf zal deze malware niet verwijderen

January 25, 2022
InNieuws Internet Beveiliging

Belangrijkste leerpunten

Beveiligingsonderzoekers hebben een unieke malware ontdekt die het flashgeheugen op het moederbord infecteert.
De malware is moeilijk te verwijderen en onderzoekers begrijpen nog niet hoe het überhaupt in de computer terechtkomt.
Bootkit-malware zal zich blijven ontwikkelen, waarschuwen onderzoekers.

Oude 3,5 inch harde schijf op een vloer — John Caezar Panelo / Getty Images

Het ontsmetten van een computer is even een kwestie van doen. Een nieuwe malware maakt de taak nog omslachtiger sinds beveiligingsonderzoekers het hebben ontdekt nestelt zich zo diep in de computer dat je waarschijnlijk het moederbord moet weggooien om er vanaf te komen ervan.

nagesynchroniseerd Maan stuiteren door de beveiligingsspeurneuzen bij Kaspersky die het hebben ontdekt, doorkruist de malware, technisch gezien een bootkit genoemd, voorbij de harde schijf en nestelt zich in de Unified Extensible Firmware Interface (UEFI)-opstart van de computer firmware.

"De aanval is zeer geavanceerd", Tomer Bar, directeur veiligheidsonderzoek bij

SafeBreach, vertelde Lifewire via e-mail. "Als het slachtoffer eenmaal is geïnfecteerd, is het erg hardnekkig, omdat zelfs het formatteren van een harde schijf niet helpt."

nieuwe dreiging

Bootkit-malware is zeldzaam, maar niet helemaal nieuw, en Kaspersky zelf heeft de afgelopen jaren twee andere ontdekt. Wat MoonBounce echter uniek maakt, is dat het het flashgeheugen op het moederbord infecteert, waardoor het ongevoelig wordt voor antivirussoftware en alle andere gebruikelijke middelen om malware te verwijderen.

In feite merken de Kaspersky-onderzoekers op dat gebruikers het besturingssysteem opnieuw kunnen installeren en de harde schijf kunnen vervangen, maar de bootkit blijft aanstaan de geïnfecteerde computer totdat gebruikers ofwel het geïnfecteerde flashgeheugen opnieuw flashen, wat ze omschrijven als "een zeer complex proces", of het moederbord vervangen geheel.

Stapel computer moederborden — Manfred Rutz / Getty Images

Wat de malware nog gevaarlijker maakt, voegde Bar eraan toe, is dat de malware bestandsloos is, wat betekent dat het niet afhankelijk is van bestanden dat antivirusprogramma's kunnen markeren en geen zichtbare voetafdruk achterlaten op de geïnfecteerde computer, wat het erg moeilijk maakt om spoor.

Op basis van hun analyse van de malware merken de Kaspersky-onderzoekers op dat MoonBounce de eerste stap is in een meertrapsaanval. De malafide acteurs achter MoonBounce gebruiken de malware om voet aan de grond te krijgen in het slachtoffer computer, die ze doorgronden, kan vervolgens worden gebruikt om extra bedreigingen in te zetten om gegevens te stelen of te implementeren ransomware.

De goedmaker is echter dat de onderzoekers tot nu toe slechts één exemplaar van de malware hebben gevonden. "Het is echter een zeer geavanceerde set code, wat zorgwekkend is; als er niets anders is, luidt het de waarschijnlijkheid in van andere, geavanceerde malware in de toekomst," Tim Helming, veiligheidsevangelist met DomeinTools, waarschuwde Lifewire via e-mail.

Therese Schachner, Cyber Security Consultant bij VPNHersenen Akkoord. "Omdat MoonBounce bijzonder onopvallend is, is het mogelijk dat er nog meer gevallen van MoonBounce-aanvallen zijn die nog niet zijn ontdekt."

Inoculeer uw computer

De onderzoekers merken op dat de malware alleen werd gedetecteerd omdat de aanvallers de fout maakten om te gebruiken dezelfde communicatieservers (technisch bekend als de commando- en controleservers) als andere bekende malware.

Helming voegde er echter aan toe dat, aangezien het niet duidelijk is hoe de eerste infectie plaatsvindt, het vrijwel onmogelijk is om zeer specifieke instructies te geven om te voorkomen dat je geïnfecteerd raakt. Het volgen van de algemeen aanvaarde best practices op het gebied van beveiliging is echter een goed begin.

"Terwijl malware zelf vooruitgang boekt, is het basisgedrag dat de gemiddelde gebruiker moet vermijden om zichzelf te beschermen niet echt veranderd. Het up-to-date houden van software, met name beveiligingssoftware, is belangrijk. Het vermijden van klikken op verdachte links blijft een goede strategie," Tim Erlin, VP van strategie bij struikeldraad, voorgesteld aan Lifewire via e-mail.

"... het is mogelijk dat er nog meer gevallen van MoonBounce-aanvallen zijn die nog niet zijn ontdekt."

Als aanvulling op die suggestie, Stephen Gates, Veiligheidsevangelist bij Checkmarx, vertelde Lifewire via e-mail dat de gemiddelde desktopgebruiker verder moet gaan dan traditionele antivirusprogramma's, die bestandsloze aanvallen, zoals MoonBounce, niet kunnen voorkomen.

"Zoek naar tools die scriptbeheer en geheugenbescherming kunnen gebruiken en probeer applicaties van organisaties te gebruiken die veilige, moderne applicatie-ontwikkelingsmethodologieën gebruiken, van de onderkant van de stapel tot de top," Gates suggereerde.

Malware gedetecteerd waarschuwingsscherm met abstracte binaire code — Olemedia / Getty-afbeeldingen

Bar daarentegen pleitte voor het gebruik van technologieën, zoals: SecureBoot en TPM, om te controleren of de opstartfirmware niet is aangepast als een effectieve mitigatietechniek tegen bootkit-malware.

Schachner suggereerde op vergelijkbare wijze dat het helpen om UEFI-firmware-updates te installeren zodra ze worden uitgebracht gebruikers nemen beveiligingsoplossingen op die hun computers beter beschermen tegen nieuwe bedreigingen zoals: Maan stuiteren.

Verder raadde ze ook aan om beveiligingsplatforms te gebruiken die detectie van firmware-bedreigingen bevatten. "Deze beveiligingsoplossingen stellen gebruikers in staat om zo snel mogelijk op de hoogte te worden gebracht van potentiële firmware-bedreigingen, zodat ze tijdig kunnen worden aangepakt voordat de bedreigingen escaleren."