Kaspersky otkrio novi malver koji ne može se ukloniti ni zamenom hard diska
Opisi virusa, 24.01.2022, 10:00 AM
Istraživači bezbednosti iz kompanije Kaspersky otkrili su novi bootkit koji su nazvali MoonBounce i koji može da zarazi UEFI firmware računara.
Ono što MoonBounce čini posebnim je činjenica da se ne skriva unutar dela hard diska pod nazivom ESP (EFI System Partition), gde se obično nalazi UEFI kod, već umesto toga inficira SPI fleš memoriju koja se nalazi na matičnoj ploči.
To znači da se, za razliku od sličnih bootkita, ne može ponovo instalirati operativni sistem i zameniti hard disk, pošto će bootkit ostati na zaraženom uređaju sve dok se SPI fleš memorija ponovo ne flešuje (veoma složen proces) ili se zameni matična ploča.
Prema rečima istraživača, MoonBounce je treći UEFI bootkit, posle LoJaxa i MosaicRegressora, koji su do sada videli koji može da inficira i živi u fleš memoriji.
Poslednjih meseci, otkriveni su i drugi bootkitovi, kao što su ESPectre, FinSpy i drugi, što je dovelo istraživače kompanije Kaspersky do zaključka da je ono što se nekada smatralo neizvodljivim nakon uvođenja UEFI standarda, postepeno postalo norma.
Istraživači su rekli da je MoonBounce korišćen kao način da se obezbedi pristup zaraženom računaru i primeni malver druge faze za izvođenje različitih operacija.
Istraživači su rekli da su otkrili da je MoonBounce primenjen samo jednom, na mreži kompanije za usluge transporta, i da na osnovu drugih malvera pronađenih na zaraženoj mreži veruju da je bootkit delo APT41, grupe za sajber špijunažu za koju se veruje da radi za račun i u ime kineske vlade.
Dokaz za ovo je činjenica da su i MoonBounce i malveri pronađeni na mreži pomenute kompanije komunicirali sa istim serverom, odakle su najverovatnije dobijali uputstva od APT31.
Jedini detalj koji je ostao misterija za Kaspersky tim je kako je bootkit uopšte instaliran.
„Kao bezbednosna mera protiv ovog i sličnih napada, preporučuje se redovno ažuriranje UEFI firmwarea i provera da je BootGuard, gde je to promenljivo, omogućen. Isto tako, preporučljivo je omogućiti Trust Platform Modules, u slučaju da je hardver podržan na računaru“, rekao je Kaspersky tim.
Izdvojeno
Kako je malver Inferno Drainer ukrao više od 80 miliona dolara od 136.000 korisnika kriptovaluta
Kao što privlači milione ljudi širom sveta, tako svet kriptovaluta privlači i sajber kriminalce koji pokušavaju da iskoriste neiskustvo i neznanj... Dalje
Hakeri koriste grešku u Windows SmartScreen da prevare korisnike da preuzmu malver
Phemedrone je novi malver za krađu informacija koji inficira računare koristeći ranjivost Microsoft Defender SmartScreena (CVE-2023-36025). Phemedr... Dalje
Nova varijanta zloglasnog Mirai botneta širi malver za rudarenje kriptovaluta
Istraživači sajber bezbednosti iz kompanije Akamai otkrili su novu verziju čuvenog botneta Mirai pod nazivom NoaBot, koja se koristi za distribucij... Dalje
Malver MS Drainer ukrao 59 miliona dolara preko Google oglasa i oglasa na X-u
Istraživači bezbednosti otkrili su novu seriju napada „crypto drainer” malvera koji je do sada ukrao 59 miliona dolara žrtvama koje su ... Dalje
Novi malver JaskaGO krade informacije sa macOS i Windows sistema
Istraživači sajber bezbednosti iz AT&T Alien Labsa otkrili su novi sofisticirani malver pod nazivom JaskaGO, napravljen u programskom jeziku Go ... Dalje
Pratite nas
Nagrade