Mesmo a substituição do disco rígido não removerá esse malware
Principais conclusões
- Pesquisadores de segurança descobriram um malware exclusivo que infecta a memória flash na placa-mãe.
- O malware é difícil de remover e os pesquisadores ainda não entendem como ele entra no computador.
- O malware Bootkit continuará a evoluir, alertam os pesquisadores.
John Caezar Panelo / Getty Images
Desinfetar um computador leva algum tempo. Um novo malware torna a tarefa ainda mais complicada desde que os pesquisadores de segurança o descobriram se encaixa tão profundamente no computador que você provavelmente terá que jogar a placa-mãe para se livrar disso.
Apelidado MoonBounce pelos detetives de segurança da Kaspersky que o descobriram, o malware, tecnicamente chamado de bootkit, atravessa além do disco rígido e se enterra na inicialização da Unified Extensible Firmware Interface (UEFI) do computador firmware.
"O ataque é muito sofisticado", Barra de Tomer, Diretor de Pesquisa de Segurança da SafeBreach, disse à Lifewire por e-mail. "Uma vez que a vítima é infectada, é muito persistente, pois mesmo um formato de disco rígido não ajuda."
Nova ameaça
O malware Bootkit é raro, mas não completamente novo, com o próprio Kaspersky tendo descoberto outros dois nos últimos dois anos. No entanto, o que torna o MoonBounce único é que ele infecta a memória flash localizada na placa-mãe, tornando-a imune ao software antivírus e a todos os outros meios usuais de remoção de malware.
De fato, os pesquisadores da Kaspersky observam que os usuários podem reinstalar o sistema operacional e substituir o disco rígido, mas o bootkit continuará o computador infectado até que os usuários refaçam a memória flash infectada, que eles descrevem como "um processo muito complexo", ou substituam a placa-mãe inteiramente.
Manfred Rutz / Getty Images
O que torna o malware ainda mais perigoso, acrescentou Bar, é que o malware não tem arquivos, o que significa que não depende de arquivos que os programas antivírus podem sinalizar e não deixa nenhuma pegada aparente no computador infectado, tornando muito difícil vestígio.
Com base em sua análise do malware, os pesquisadores da Kaspersky observam que o MoonBounce é o primeiro passo em um ataque em vários estágios. Os atores desonestos por trás do MoonBounce usam o malware para estabelecer um ponto de apoio na vítima computador, que eles entendem podem ser usados para implantar ameaças adicionais para roubar dados ou implantar ransomware.
A graça salvadora, porém, é que os pesquisadores encontraram apenas uma instância do malware até agora. "No entanto, é um conjunto de código muito sofisticado, o que é preocupante; se nada mais, anuncia a probabilidade de outros malwares avançados no futuro", Tim Helming, evangelista de segurança com DomainTools, avisou a Lifewire por e-mail.
Teresa Schachner, Consultor de Segurança Cibernética na VPNBrains acordado. “Como o MoonBounce é particularmente furtivo, é possível que existam instâncias adicionais de ataques MoonBounce que ainda não foram descobertos”.
Inocule seu computador
Os pesquisadores observam que o malware foi detectado apenas porque os invasores cometeram o erro de usar os mesmos servidores de comunicação (tecnicamente conhecidos como servidores de comando e controle) que outro conhecido malware.
No entanto, Helming acrescentou que, como não é aparente como a infecção inicial ocorre, é praticamente impossível dar instruções muito específicas sobre como evitar a infecção. No entanto, seguir as práticas recomendadas de segurança bem aceitas é um bom começo.
"Enquanto o próprio malware avança, os comportamentos básicos que o usuário médio deve evitar para se proteger não mudaram realmente. Manter o software atualizado, especialmente o software de segurança, é importante. Evitar clicar em links suspeitos continua sendo uma boa estratégia", Tim Erlin, vice-presidente de estratégia da Tripwire, sugerido à Lifewire por e-mail.
"... é possível que existam instâncias adicionais de ataques MoonBounce que ainda não foram descobertos."
Adicionando a essa sugestão, Stephen Gates, Evangelista de Segurança da Checkmarx, disse à Lifewire por e-mail que o usuário médio de desktop precisa ir além das ferramentas antivírus tradicionais, que não podem impedir ataques sem arquivo, como o MoonBounce.
"Procure ferramentas que possam alavancar controle de script e proteção de memória e tente usar aplicativos de organizações que empregam metodologias de desenvolvimento de aplicativos seguras e modernas, desde a base da pilha até o topo", Gates sugerido.
Olemedia / Getty Images
Bar, por outro lado, defendia o uso de tecnologias, como SecureBoot e TPM, para verificar se o firmware de inicialização não foi modificado como uma técnica de mitigação eficaz contra malware de bootkit.
Schachner, em linhas semelhantes, sugeriu que a instalação de atualizações de firmware UEFI à medida que são lançadas ajudará os usuários incorporam correções de segurança que protegem melhor seus computadores contra ameaças emergentes, como MoonBounce.
Além disso, ela também recomendou o uso de plataformas de segurança que incorporam a detecção de ameaças de firmware. “Essas soluções de segurança permitem que os usuários sejam informados sobre possíveis ameaças de firmware o mais rápido possível, para que possam ser tratadas em tempo hábil antes que as ameaças aumentem”.