O Malware UEFI Exploit Persiste Mesmo Após a Reinstalação do Sistema Operacional
Os pesquisadores de segurança encontraram um Trojan integrado ao UEFI, capaz de coletar dados em máquinas MS Windows infectadas. Ao contrário de outros Тrojans populares por aí, a nova ameaça abre um buraco na interface de firmware extensível unificada (UEFI), plantando-se profundamente na memória flash da placa-mãe. Como resultado, o malware ganha persistência absoluta no PC infectado, dando-lhe imunidade contra quaisquer ferramentas anti-vírus. Além disso, o Trojan não iria embora, mesmo após uma instalação limpa do seu sistema operacional MS Windows.
A segunda vez que os hackers criaram um malware feito sob medida para a UEFI, foi dois anos depois que a ameaça Lojax apareceu no horizonte em 2018.
Índice
A(s) Carga(s)
O malware baseado no UEFI serviu como backdoor para outro executável malicioso chamado "IntelUpdate.exe '. O último visa fornecer dados adicionais de exfiltração de malware de máquinas infectadas. Além disso, ele carrega durante a inicialização do sistema, levando você a um loop repetidamente. Se você removeu o arquivo .exe, o Trojan localizado com UEFI o restauraria durante a próxima inicialização, a menos que você eliminasse o firmware do UEFI completamente.
Alvos e Suspeitos
Até agora, a maioria dos ataques registrados tem como alvo organizações diplomáticas e não governamentais que presumivelmente têm conexões com a Coreia do Norte de uma forma ou de outra. Espalhado pela Europa, Ásia e África, as vítimas obtiveram o malware por meio de uma estrutura maliciosa conhecida como MosaicRegressor. Um exame mais detalhado do malware o vinculou a um servidor C&C particular anteriormente associado ao Winnti, um cybergang supostamente apoiado pelas autoridades chinesas. A presença de símbolos chineses dentro do próprio código também apóia essa teoria. No entanto, a falta de evidências concretas sugere que a alegação pode ser mera especulação e não um fato.
Vetor de Origem e Infecção
A origem do malware baseado no UEFI pode ser rastreada até 2015, quando uma empresa italiana de tecnologia de vigilância conhecida como Hacking Team foi vítima de roubo de dados. Os dados - um projeto que lida com ataques de malware direcionados à UEFI - vazaram na web logo após o incidente. No entanto, não está claro se os criminosos no comando confiaram nesses dados ou exploraram uma vulnerabilidade diferente do BIOS. O vetor de infecção, por outro lado, é igualmente vago. Embora as vítimas pareçam ter recebido e-mails de phishing dos hackers em questão, nenhum desses e-mails continha a carga útil.