I ricercatori di Kaspersky hanno trovato un bootkit nel firmware UEFI, una parte essenziale dei computer. Soprannominato MoonBounce, è il terzo impianto malevolo di questo tipo trovato in the wild. Una minaccia informatica particolarmente difficile da eliminare.
Kaspersky scopre il terzo bookkit nel firmware UEFI
Apparso per la prima volta nella primavera 2021, MoonBounce risulta particolarmente subdolo e difficile da eliminare. Infatti il firmware UEFI si occupa dell’avvio del PC e di caricare il sistema operativo, risultando difficile da snidare e da rimuovere.
Questo codice si trova nella flash SPI, la memoria non volatile esterna la disco rigido. Caricandosi prima del sistema operativo, il malware impiantato nel bootkit firmware non si può eliminare nemmeno formattando il disco o reinstallando il sistema operativo. Inoltre, trovandosi fuori dal dominio del disco fisso, la maggior parte delle soluzioni di sicurezza non può rilevare questo malware: serve una funzione specifica per farlo.
MoonBounce è il terzo bootkit UEFI rilevato in the wild, trovato da Kaspersky analizzando l’attività di Firmware Scanner, prodotto dell’azienda. Questa soluzione, inclusa dal 2019 nei prodotti dell’azienda, permette di rilevare minacce nella ROM del BIOS, comprese le immagini UEFI.
Rispetto alle due minacce precedenti, LoJax e MosaicRegressor, il nuovo bootkit firmware risulta particolarmente avanzato. L’impianto si trova nella componente CORE_DXE, chiamato all’inizio della sequenza UEFI. Intercettando alcune funzioni, possono farsi strada nel sistema operativo senza lasciare alcuna traccia nel disco rigido.
Al momento non si conosce il vettore di infezione, ma i ricercatori di Kaspersky hanno trovato diversi malware che hanno usato il percorso aperto da MoonBounce per attaccare i sistemi. L’azienda ha attribuito la campagna a APT41, un threat actor in lingua cinese.
“Nonostante non si possano collegare in modo definitivo gli impianti di malware aggiuntivi trovati durante la nostra indagine relativa a MoonBounce, sembra che alcuni threat actor di lingua cinese stiano condividendo tra loro strumenti per sostenere le loro varie campagne; in particolare sembra esserci una connessione tra MoonBounce e Microcin”, ha commentato Denis Legezo, senior security researcher with GReAT.
Per difendersi da questi attacchi, trovate maggiori informazioni su questa e altre minacce sul Kaspersky Threat Intelligence Portal. Inoltre, potreste utilizzare soluzioni EDR e specifiche sugli endpoint.
- Difende da virus, cryptolocker e altri ransomware
- Protegge la tua privacy
- Protegge i tuoi acquisti online
- Mantiene inalterate le prestazioni del PC
- Parental Control Avanzato
Rimani aggiornato seguendoci su Google News!
Da non perdere questa settimana su Techbusiness
📈 SAP NOW 2024 l'intelligenza artificiale per il business conquista Milano💸 Come calcolare il ritorno sugli investimenti nell’Intelligenza Artificiale
👨⚖️ Direttiva NIS2 e cybersecurity nelle PMI italiane obblighi e opportunità
🔫 Metà degli attacchi informatici in Italia prende di mira le supply chain
📰 Ma lo sai che abbiamo un sacco di newsletter?
📺 Trovi Fjona anche su RAI Play con Touch - Impronta digitale!
🎧 Ascolta il nostro imperdibile podcast Le vie del Tech
💸E trovi un po' di offerte interessanti su Telegram!
