MoonBounce: um malware que permanece na UEFI dos sistemas

24-01-2022

Um malware que infete diretamente a BIOS ou UEFI do sistema é uma das maiores ameaças que se pode encontrar. Mas parece que foi exatamente isso que um grupo de investigadores da empresa de segurança Kaspersky revelaram ter descoberto.

Apelidado de MoonBounce, o bootkit é uma espécie de malware que, invés de infetar o sistema operativo, passa diretamente por infetar o UEFI da máquina. Ao contrário do que outros malwares do género realizam, o MoonBounce não infeta apenas o disco rígido, mas sim a própria motherboard e memória desta.

Ou seja, por outras palavras, o malware pode permanecer ativo até mesmo se os utilizadores formatarem o disco, reinstalarem o sistema ou até trocarem o disco por outro completamente novo. A única forma de “remover” o mesmo passa por realizar o reflash da memória da BIOS ou trocar de motherboard.

Como este infeta diretamente a memória SPI, uma parte da motherboard usada para armazenar os dados da UEFI, não existe uma forma clara de proteger contra este ataque, e tão pouco de resolver o mesmo.

Os investigadores acreditam que o MoonBounce terá sido criado por grupos chineses, possivelmente com foco para sistemas de espionagem de empresas. Uma das possibilidades encontra-se para o facto que o malware tenha sido criado pelo grupo conhecido como “APT41”, o qual possui relações diretas com o governo da China.

Os investigadores acreditam neste facto devido a que as comunicações feitas pelo malware para servidores de controlo passam pelas mesmas infraestruturas que o grupo APT41 usa para as suas atividades maliciosas.

A recomendação principal para prevenir este ataque passa por manter a UEFI atualizada sobre a versão mais recente fornecida pelos fabricantes, bem como ativar o sistema de BootGuard e Trust Platform Modules quando possível.
(TT)

Desenvolvido por: Suporte Informatica