Site icon Techbusiness

Kaspersky scopre un bootkit nel firmware UEFI

  • Stefano Regazzi
    • Kaspersky scopre un bootkit nel firmware UEFI thumbnail

    I ricercatori di Kaspersky hanno trovato un bootkit nel firmware UEFI, una parte essenziale dei computer. Soprannominato MoonBounce, è il terzo impianto malevolo di questo tipo trovato in the wild. Una minaccia informatica particolarmente difficile da eliminare.

    Kaspersky scopre il terzo bookkit nel firmware UEFI

    Apparso per la prima volta nella primavera 2021, MoonBounce risulta particolarmente subdolo e difficile da eliminare. Infatti il firmware UEFI si occupa dell’avvio del PC e di caricare il sistema operativo, risultando difficile da snidare e da rimuovere.

    Questo codice si trova nella flash SPI, la memoria non volatile esterna la disco rigido. Caricandosi prima del sistema operativo, il malware impiantato nel bootkit firmware non si può eliminare nemmeno formattando il disco o reinstallando il sistema operativo. Inoltre, trovandosi fuori dal dominio del disco fisso, la maggior parte delle soluzioni di sicurezza non può rilevare questo malware: serve una funzione specifica per farlo.

    MoonBounce è il terzo bootkit UEFI rilevato in the wild, trovato da Kaspersky analizzando l’attività di Firmware Scanner, prodotto dell’azienda. Questa soluzione, inclusa dal 2019 nei prodotti dell’azienda, permette di rilevare minacce nella ROM del BIOS, comprese le immagini UEFI.

    LEGGI ANCHE: Kaspersky: startup di criptovalute prese di mira dal threat actor BlueNoroff

    Rispetto alle due minacce precedenti, LoJax e MosaicRegressor, il nuovo bootkit firmware risulta particolarmente avanzato. L’impianto si trova nella componente CORE_DXE, chiamato all’inizio della sequenza UEFI. Intercettando alcune funzioni, possono farsi strada nel sistema operativo senza lasciare alcuna traccia nel disco rigido.

    Al momento non si conosce il vettore di infezione, ma i ricercatori di Kaspersky hanno trovato diversi malware che hanno usato il percorso aperto da MoonBounce per attaccare i sistemi. L’azienda ha attribuito la campagna a APT41, un threat actor in lingua cinese.

    “Nonostante non si possano collegare in modo definitivo gli impianti di malware aggiuntivi trovati durante la nostra indagine relativa a MoonBounce, sembra che alcuni threat actor di lingua cinese stiano condividendo tra loro strumenti per sostenere le loro varie campagne; in particolare sembra esserci una connessione tra MoonBounce e Microcin”, ha commentato Denis Legezo, senior security researcher with GReAT.

    Per difendersi da questi attacchi, trovate maggiori informazioni su questa e altre minacce sul Kaspersky Threat Intelligence Portal. Inoltre, potreste utilizzare soluzioni EDR e specifiche sugli endpoint.

    OffertaBestseller No. 1
    Kaspersky Plus Internet Security 2024| 3 dispositivi | 1 anno | Con Anti-Phishing e Firewall | VPN illimitata | Password Manager | Protezione banking online | PC/Mac/mobili | Attivazione e-mail
    Kaspersky Plus Internet Security 2024| 3 dispositivi | 1 anno | Con Anti-Phishing e Firewall | VPN illimitata | Password Manager | Protezione banking online | PC/Mac/mobili | Attivazione e-mail
    • Difende da virus, cryptolocker e altri ransomware
    • Protegge la tua privacy
    • Protegge i tuoi acquisti online
    • Mantiene inalterate le prestazioni del PC
    • Parental Control Avanzato
    29,99 EUR
    Acquista su Amazon
    Exit mobile version