Pratite nas preko RSS-aKaspersky otkrio novi malver koji ne može se ukloniti ni zamenom hard diska
Opisi virusa, 24.01.2022, 10:00 AM
Istraživači bezbednosti iz kompanije Kaspersky otkrili su novi bootkit koji su nazvali MoonBounce i koji može da zarazi UEFI firmware računara.
Ono što MoonBounce čini posebnim je činjenica da se ne skriva unutar dela hard diska pod nazivom ESP (EFI System Partition), gde se obično nalazi UEFI kod, već umesto toga inficira SPI fleš memoriju koja se nalazi na matičnoj ploči.
To znači da se, za razliku od sličnih bootkita, ne može ponovo instalirati operativni sistem i zameniti hard disk, pošto će bootkit ostati na zaraženom uređaju sve dok se SPI fleš memorija ponovo ne flešuje (veoma složen proces) ili se zameni matična ploča.
Prema rečima istraživača, MoonBounce je treći UEFI bootkit, posle LoJaxa i MosaicRegressora, koji su do sada videli koji može da inficira i živi u fleš memoriji.
Poslednjih meseci, otkriveni su i drugi bootkitovi, kao što su ESPectre, FinSpy i drugi, što je dovelo istraživače kompanije Kaspersky do zaključka da je ono što se nekada smatralo neizvodljivim nakon uvođenja UEFI standarda, postepeno postalo norma.
Istraživači su rekli da je MoonBounce korišćen kao način da se obezbedi pristup zaraženom računaru i primeni malver druge faze za izvođenje različitih operacija.
Istraživači su rekli da su otkrili da je MoonBounce primenjen samo jednom, na mreži kompanije za usluge transporta, i da na osnovu drugih malvera pronađenih na zaraženoj mreži veruju da je bootkit delo APT41, grupe za sajber špijunažu za koju se veruje da radi za račun i u ime kineske vlade.
Dokaz za ovo je činjenica da su i MoonBounce i malveri pronađeni na mreži pomenute kompanije komunicirali sa istim serverom, odakle su najverovatnije dobijali uputstva od APT31.
Jedini detalj koji je ostao misterija za Kaspersky tim je kako je bootkit uopšte instaliran.
„Kao bezbednosna mera protiv ovog i sličnih napada, preporučuje se redovno ažuriranje UEFI firmwarea i provera da je BootGuard, gde je to promenljivo, omogućen. Isto tako, preporučljivo je omogućiti Trust Platform Modules, u slučaju da je hardver podržan na računaru“, rekao je Kaspersky tim.
Izdvojeno
Nova verzija malvera NodeStealer ne krade samo Facebook lozinke, već i sve druge lozinke iz različitih veb pregledača
.jpg)
Netskope Threat Labs upozorava na napade u kojima se koriste Python skripte za krađu lozinki i podataka iz veb pregledača korisnika Facebooka. Ova k... Dalje
Novi trojanac se širi preko Telegrama i Discorda
Tim za istraživanje pretnji kompanije Uptycs otkrio je početkom avgusta novi malver nazvan QwixxRAT. Trojanac za daljinski pristup (RAT) je privukao... Dalje
Novi ransomware Knight krije se u mejlovima Tripadvisora
Ransomwareu Cyclops, koji se pojavio u maju ove godine, krajem jula je promenjeno ime u Knight ransomware. Pod tim nazivom ransomware se sada distribu... Dalje
Hakerska grupa ruske obaveštajne službe koristi novi malver za špijunažu ciljeva u istočnoj Evropi
Ruska hakerska grupa BlueBravo iza koje stoji država napada diplomatske entitete širom istočne Evrope inficirajući uređaje ciljeva novim backooro... Dalje
Novi malver inficira macOS računare i krade lozinke iz veb pretraživača
Početkom meseca istraživač bezbednosti iamdeadlyz upozorio je na više lažnih blokčejn igara koje se koriste za inficiranje Windows i macOS raču... Dalje
Pratite nas
Nagrade
Prijatelji
