Malware MoonBounce

Na primavera de 2021, uma nova ameaça de implante UEFI surgiu como parte de um ataque altamente direcionado. A análise do ataque e a ameaça rastreada como MoonBounce foram divulgadas em um relatório publicado pela Securelist. Os pesquisadores descobriram que a infecção envolvia a modificação de um único componente da imagem de firmware do sistema de computador alvo.

Ao fazer isso, os invasores conseguiram interceptar o fluxo de execução pretendido da sequência de inicialização do dispositivo e, em vez disso, iniciar uma cadeia de infecção avançada. Embora não conclusivos, vários fatores apontam para o MoonBounce estar conectado ao grupo APT (Advanced Persistent Threat) APT41, que acredita-se ter vínculos com a China.

Detalhes do MoonBounce

A ameaça MoonBounce é especialmente furtiva, pois explora o flash SPI do dispositivo infectado. SPI significa Serial Peripheral Interface, um protocolo serial destinado a facilitar a comunicação entre vários dispositivos, como dispositivos flash serial. Como resultado, o implante MoonBounce contorna completamente a necessidade de existir no disco rígido do sistema.

Além disso, ele pode persistir em qualquer formato de disco ou substituições de disco. A cadeia de infecção como um todo deixa poucos rastros, pois é executada completamente sem arquivos e inteiramente na memória. O principal objetivo da ameaça MoonBounce é permitir a entrega de um malware no modo de usuário, que por sua vez é encarregado da implantação de cargas adicionais de próximo estágio obtidas da Internet.