UEFI Exploit Malware persiste anche dopo la reinstallazione del sistema operativo
I ricercatori di sicurezza si sono imbattuti in un Trojan incorporato nell'UEFI in grado di raccogliere dati su macchine MS Windows infette. A differenza di altri Тrojan popolari là fuori, la nuova minaccia fa un buco nell'Unified Extensible Firmware Interface (UEFI), piantandosi così in profondità nella memoria flash della scheda madre. Di conseguenza, il malware ottiene la massima persistenza sul PC infetto, conferendogli l'immunità contro qualsiasi strumento antivirus. Inoltre, il Trojan non scomparirebbe nemmeno dopo un'installazione pulita del tuo sistema operativo MS Windows.
La seconda volta che gli hacker hanno ideato un malware su misura per UEFI, arriva due anni dopo che la minaccia Lojax è apparsa all'orizzonte nel 2018.
Sommario
Il carico utile
Il malware basato su UEFI fungeva da backdoor per un altro eseguibile dannoso chiamato "IntelUpdate.exe". Quest'ultimo mira a fornire dati aggiuntivi di esfiltrazione di malware dalle macchine infette. Inoltre, si carica durante l'avvio del sistema, facendoti ripetere un ciclo più e più volte. Se hai rimosso il file .exe, il Trojan individuato da UEFI lo ripristinerà durante il prossimo avvio a meno che non elimini del tutto il firmware di UEFI.
Obiettivi e sospetti
Finora, la maggior parte degli attacchi registrati ha preso di mira organizzazioni diplomatiche e non governative che si presume abbiano collegamenti con la Corea del Nord in un modo o nell'altro. Diffuso in Europa, Asia e Africa, le vittime hanno ottenuto il malware attraverso un framework dannoso noto come MosaicRegressor. Un esame più approfondito del malware lo ha collegato a un particolare server C&C precedentemente associato a Winnti, un cybergang presumibilmente sostenuto dalle autorità cinesi. La presenza di simboli cinesi all'interno del codice stesso supporta ulteriormente anche questa teoria. Tuttavia, la mancanza di prove concrete suggerisce che l'affermazione potrebbe essere mera speculazione piuttosto che un fatto.
Origine e vettore di infezione
L'origine del malware basato su UEFI può essere fatta risalire al 2015, quando una società italiana di tecnologia di sorveglianza nota come Hacking Team è stata vittima di un furto di dati. I dati, un progetto che si occupa di attacchi malware mirati a UEFI, sono trapelati sul web poco dopo l'incidente. Tuttavia, non è chiaro se i criminali responsabili abbiano fatto affidamento su quei dati o sfruttato invece una diversa vulnerabilità del BIOS. Il vettore di infezione, d'altra parte, è altrettanto vago. Sebbene le vittime sembrino aver ricevuto e-mail di phishing dagli hacker in questione, nessuna di queste e-mail ha contenuto il payload.