Nici măcar înlocuirea hard disk-ului nu va elimina acest malware

Dezinfectarea unui computer necesită ceva de făcut așa cum este. Un nou malware face sarcina și mai greoaie de când cercetătorii de securitate au descoperit-o se încorporează atât de adânc în computer, încât probabil va trebui să aruncați placa de bază pentru a scăpa din ea.

Dublat MoonBounce de detectivii de securitate de la Kaspersky care l-au descoperit, malware-ul, numit tehnic bootkit, traversează dincolo de hard disk și se îngroapă în porțiunea UEFI (Unified Extensible Firmware Interface) a computerului firmware.

"Atacul este foarte sofisticat" Tomer Bar, Director Cercetare în Securitate la SafeBreach, a spus Lifewire prin e-mail. „Odată ce victima este infectată, este foarte persistent, deoarece nici un format de hard disk nu va ajuta.”

Amenințare nouă

Programele malware Bootkit sunt rare, dar nu complet noi, Kaspersky însuși a descoperit alte două în ultimii doi ani. Cu toate acestea, ceea ce face ca MoonBounce să fie unic este că infectează memoria flash situată pe placa de bază, făcând-o impermeabilă la software-ul antivirus și la toate celelalte mijloace obișnuite de eliminare a malware-ului.

De fapt, cercetătorii Kaspersky notează că utilizatorii pot reinstala sistemul de operare și pot înlocui hard disk-ul, dar bootkit-ul va continua să rămână activat. computerul infectat până când utilizatorii fie refac memoria flash infectată, pe care o descriu drept „un proces foarte complex”, fie înlocuiesc placa de bază în întregime.

Ceea ce face malware-ul și mai periculos, a adăugat Bar, este că malware-ul este fără fișiere, ceea ce înseamnă că nu se bazează pe fișiere. că programele antivirus pot semnaliza și nu lasă nicio amprentă aparentă pe computerul infectat, ceea ce face foarte dificil urmă.

Pe baza analizei lor asupra malware-ului, cercetătorii Kaspersky notează că MoonBounce este primul pas într-un atac în mai multe etape. Actorii necinstiți din spatele MoonBounce folosesc malware-ul pentru a stabili un punct de sprijin în cel al victimei computer, despre care ei înțeleg că poate fi apoi folosit pentru a implementa amenințări suplimentare pentru a fura date sau a implementa ransomware.

Totuși, harul salvator este că cercetătorii au găsit doar o singură instanță a malware-ului până acum. „Cu toate acestea, este un set de cod foarte sofisticat, ceea ce este îngrijorător; dacă nimic altceva, anunță probabilitatea altor programe malware avansate în viitor.” Tim Helming, evanghelist de securitate cu DomainTools, a avertizat Lifewire prin e-mail.

Therese Schachner, Consultant Cyber ​​Security la VPNBrains de acord. „Deoarece MoonBounce este deosebit de ascuns, este posibil să existe cazuri suplimentare de atacuri MoonBounce care nu au fost încă descoperite.”

Inoculați-vă computerul

Cercetătorii notează că malware-ul a fost detectat doar pentru că atacatorii au făcut greșeala de a folosi aceleași servere de comunicații (cunoscute din punct de vedere tehnic ca servere de comandă și control) ca un alt cunoscut malware.

Cu toate acestea, Helming a adăugat că, din moment ce nu este evident cum are loc infecția inițială, este practic imposibil să oferiți instrucțiuni foarte specifice despre cum să evitați infectarea. Totuși, respectarea celor mai bune practici de securitate bine acceptate este un început bun.

„În timp ce malware-ul în sine avansează, comportamentele de bază pe care utilizatorul obișnuit ar trebui să le evite pentru a se proteja nu s-au schimbat cu adevărat. Menținerea la zi a software-ului, în special a software-ului de securitate, este importantă. Evitarea clicului pe linkuri suspecte rămâne o strategie bună.” Tim Erlin, VP strategie la Tripwire, a sugerat Lifewire prin e-mail.

Adăugând la această sugestie, Stephen Gates, Evanghelist de securitate la Checkmarx, a declarat pentru Lifewire prin e-mail că utilizatorul mediu de desktop trebuie să meargă dincolo de instrumentele antivirus tradiționale, care nu pot preveni atacurile fără fișiere, cum ar fi MoonBounce.

„Căutați instrumente care pot folosi controlul scripturilor și protecția memoriei și încercați să utilizați aplicații de la organizații care folosesc metodologii sigure și moderne de dezvoltare a aplicațiilor, de la partea de jos a stivei până la vârf”, spune Gates sugerat.

Bar, pe de altă parte, a susținut utilizarea tehnologiilor, cum ar fi SecureBoot și TPM, pentru a verifica dacă firmware-ul de pornire nu a fost modificat ca tehnică eficientă de atenuare a malware-ului bootkit.

Schachner, pe linii similare, a sugerat că instalarea actualizărilor de firmware UEFI pe măsură ce sunt lansate va ajuta utilizatorii încorporează remedieri de securitate care își protejează mai bine computerele împotriva amenințărilor emergente, cum ar fi MoonBounce.

Mai mult, ea a recomandat, de asemenea, utilizarea platformelor de securitate care încorporează detectarea amenințărilor de firmware. „Aceste soluții de securitate permit utilizatorilor să fie informați cât mai curând posibil despre potențialele amenințări legate de firmware, astfel încât să poată fi abordate în timp util înainte ca amenințările să escaladeze.”