Kaspersky otkrio novi malver koji ne može se ukloniti ni zamenom hard diska

Opisi virusa, 24.01.2022, 10:00 AM

Kaspersky otkrio novi malver koji ne može se ukloniti ni zamenom hard diska

Istraživači bezbednosti iz kompanije Kaspersky otkrili su novi bootkit koji su nazvali MoonBounce i koji može da zarazi UEFI firmware računara.

Ono što MoonBounce čini posebnim je činjenica da se ne skriva unutar dela hard diska pod nazivom ESP (EFI System Partition), gde se obično nalazi UEFI kod, već umesto toga inficira SPI fleš memoriju koja se nalazi na matičnoj ploči.

To znači da se, za razliku od sličnih bootkita, ne može ponovo instalirati operativni sistem i zameniti hard disk, pošto će bootkit ostati na zaraženom uređaju sve dok se SPI fleš memorija ponovo ne flešuje (veoma složen proces) ili se zameni matična ploča.

Prema rečima istraživača, MoonBounce je treći UEFI bootkit, posle LoJaxa i MosaicRegressora, koji su do sada videli koji može da inficira i živi u fleš memoriji.

Poslednjih meseci, otkriveni su i drugi bootkitovi, kao što su ESPectre, FinSpy i drugi, što je dovelo istraživače kompanije Kaspersky do zaključka da je ono što se nekada smatralo neizvodljivim nakon uvođenja UEFI standarda, postepeno postalo norma.

Istraživači su rekli da je MoonBounce korišćen kao način da se obezbedi pristup zaraženom računaru i primeni malver druge faze za izvođenje različitih operacija.

Istraživači su rekli da su otkrili da je MoonBounce primenjen samo jednom, na mreži kompanije za usluge transporta, i da na osnovu drugih malvera pronađenih na zaraženoj mreži veruju da je bootkit delo APT41, grupe za sajber špijunažu za koju se veruje da radi za račun i u ime kineske vlade.

Dokaz za ovo je činjenica da su i MoonBounce i malveri pronađeni na mreži pomenute kompanije komunicirali sa istim serverom, odakle su najverovatnije dobijali uputstva od APT31.

Jedini detalj koji je ostao misterija za Kaspersky tim je kako je bootkit uopšte instaliran.

„Kao bezbednosna mera protiv ovog i sličnih napada, preporučuje se redovno ažuriranje UEFI firmwarea i provera da je BootGuard, gde je to promenljivo, omogućen. Isto tako, preporučljivo je omogućiti Trust Platform Modules, u slučaju da je hardver podržan na računaru“, rekao je Kaspersky tim.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi, opasni trojanac koji krade lozinke širi se preko YouTube-a

Novi, opasni trojanac koji krade lozinke širi se preko YouTube-a

Istraživači bezbednosti iz CYFIRMA otkrili su novi malver nazvan Neptun RAT koji inficira Windows uređaje i krade lozinke. Malver koga bezbednosni ... Dalje

Novi malver koji krade lozinke širi se preko YouTube-a

Novi malver koji krade lozinke širi se preko YouTube-a

Novootkriveni malver za krađu informacija pod nazivom Arcane Stealer krade mnoštvo korisničkih podataka, uključujući podatke za prijavljivanje z... Dalje

Novi malver MassJacker krije se u piratskom softveru

Novi malver MassJacker krije se u piratskom softveru

Korisnici koji traže piratski softver mete su napada koji rezultiraju infekcijom novim malverom pod nazivom MassJacker. Prema nalazima kompanije Cybe... Dalje

Hakeri koriste Google Docs i Steam za kontrolu malvera koji kradu lozinke

Hakeri koriste Google Docs i Steam za kontrolu malvera koji kradu lozinke

Google Docs i druge pouzdane platforme se koriste za skrivenu kontrolu malvera koji kradu, lozinke, logove ćaskanja i osetljive podatke (infostealer... Dalje

BlackLock je nova opasna ransomware banda

BlackLock je nova opasna ransomware banda

Istraživači iz kompanije za sajber bezbednost Reliaqest upozoravaju na ekstremno opasnu ransomware bandu BlackLock koja se pojavila u martu prošle ... Dalje