Recomandări cheie
- Cercetătorii în domeniul securității au descoperit un program malware unic care infectează memoria flash de pe placa de bază.
- Programul malware este greu de eliminat, iar cercetătorii nu înțeleg încă cum intră în computer în primul rând.
-
Programul malware Bootkit va continua să evolueze, avertizează cercetătorii.
Dezinfectarea unui computer necesită ceva de făcut așa cum este. Un nou malware face sarcina și mai greoaie, deoarece cercetătorii de securitate au descoperit că se încorporează atât de adânc în computer, încât probabil va trebui să aruncați placa de bază pentru a scăpa de ea.
Dubled MoonBounce de către detectivii de securitate de la Kaspersky care l-au descoperit, malware-ul, numit tehnic bootkit, trece dincolo de hard disk și se îngroapă în firmware-ul de pornire al computerului Unified Extensible Firmware Interface (UEFI).
„Atacul este foarte sofisticat”, a declarat Tomer Bar, director de cercetare de securitate la SafeBreach, pentru Lifewire prin e-mail. „Odată ce victima este infectată, este foarte persistent, deoarece nici un format de hard disk nu va ajuta.”
Amenințare nouă
Programele malware Bootkit sunt rare, dar nu complet noi, Kaspersky însuși a descoperit alte două în ultimii doi ani. Cu toate acestea, ceea ce face ca MoonBounce să fie unic este că infectează memoria flash situată pe placa de bază, făcând-o impermeabilă la software-ul antivirus și la toate celel alte mijloace obișnuite de a elimina programele malware.
De fapt, cercetătorii Kaspersky notează că utilizatorii pot reinstala sistemul de operare și pot înlocui hard disk-ul, dar bootkit-ul va continua să rămână pe computerul infectat până când utilizatorii fie re-flash memoria flash infectată, pe care o descriu ei. ca „un proces foarte complex” sau înlocuiți complet placa de bază.
Ceea ce face malware-ul și mai periculos, a adăugat Bar, este faptul că malware-ul este fără fișiere, ceea ce înseamnă că nu se bazează pe fișiere pe care programele antivirus le pot semnala și nu lasă nicio amprentă aparentă pe computerul infectat, ceea ce îl face foarte greu de urmărit.
Pe baza analizei lor asupra malware-ului, cercetătorii Kaspersky notează că MoonBounce este primul pas într-un atac în mai multe etape. Actorii necinstiți din spatele MoonBounce folosesc malware-ul pentru a stabili un punct de sprijin în computerul victimei, pe care îl înțeleg că poate fi apoi folosit pentru a implementa amenințări suplimentare pentru a fura date sau a implementa ransomware.
Totuși, harul salvator este că cercetătorii au găsit doar o singură instanță a malware-ului până acum. „Cu toate acestea, este un set de coduri foarte sofisticat, ceea ce este îngrijorător; dacă nu altceva, anunță probabilitatea altor programe malware avansate în viitor”, a avertizat Tim Helming, evanghelist de securitate la DomainTools, Lifewire prin e-mail.
Therese Schachner, consultant de securitate cibernetică la VPNBrains a fost de acord. „Deoarece MoonBounce este deosebit de ascuns, este posibil să existe cazuri suplimentare de atacuri MoonBounce care nu au fost încă descoperite.”
Inoculați-vă computerul
Cercetătorii notează că malware-ul a fost detectat doar pentru că atacatorii au făcut greșeala de a folosi aceleași servere de comunicații (cunoscute din punct de vedere tehnic sub numele de servere de comandă și control) ca un alt malware cunoscut.
Cu toate acestea, Helming a adăugat că, din moment ce nu este evident cum are loc infecția inițială, este practic imposibil să oferim instrucțiuni foarte specifice despre cum să evitați infectarea. Totuși, respectarea celor mai bune practici de securitate bine acceptate este un început bun.
În timp ce malware-ul în sine avansează, comportamentele de bază pe care utilizatorul obișnuit ar trebui să le evite pentru a se proteja nu s-au schimbat cu adevărat. Menținerea la zi a software-ului, în special a software-ului de securitate, este importantă. Evitarea clicului pe linkuri suspecte rămâne o strategie bună”, a sugerat Tim Erlin, VP strategie la Tripwire, Lifewire prin e-mail.
… este posibil să existe cazuri suplimentare de atacuri MoonBounce care nu au fost încă descoperite.
Adăugând la această sugestie, Stephen Gates, Security Evangelist la Checkmarx, a declarat pentru Lifewire prin e-mail că utilizatorul mediu de desktop trebuie să meargă dincolo de instrumentele antivirus tradiționale, care nu pot preveni atacurile fără fișiere, cum ar fi MoonBounce..
"Căutați instrumente care pot folosi controlul scripturilor și protecția memoriei și încercați să utilizați aplicații de la organizații care folosesc metodologii moderne și sigure de dezvoltare a aplicațiilor, de la partea de jos a stivei până la vârf", a sugerat Gates.
Bar, pe de altă parte, a susținut utilizarea unor tehnologii, cum ar fi SecureBoot și TPM, pentru a verifica dacă firmware-ul de pornire nu a fost modificat ca o tehnică eficientă de atenuare a malware-ului bootkit.
Schachner, pe linii similare, a sugerat că instalarea actualizărilor de firmware UEFI pe măsură ce sunt lansate va ajuta utilizatorii să încorporeze remedieri de securitate care să-și protejeze mai bine computerele împotriva amenințărilor emergente, cum ar fi MoonBounce.
În plus, ea a recomandat, de asemenea, utilizarea platformelor de securitate care încorporează detectarea amenințărilor de firmware. „Aceste soluții de securitate permit utilizatorilor să fie informați cât mai curând posibil despre potențialele amenințări legate de firmware, astfel încât să poată fi abordate în timp util înainte ca amenințările să escaladeze.”