A empresa de segurança Kaspersky Lab descobriu o malware, que explora a UEFI (Unified Extensible Firmware Interface) de um computador para persistir continuamente em uma máquina Windows.  

Atacar o UEFI é bastante alarmante porque o software é usado para inicializar seu computador e carregar o sistema operacional. Ele também opera separadamente do disco rígido principal do computador e geralmente reside na memória flash SPI da placa-mãe como firmware. Como resultado, qualquer processo malicioso incorporado no UEFI pode sobreviver a uma reinstalação do sistema operacional enquanto evita as soluções antivírus tradicionais . 

“Este ataque demonstra que, embora raramente, em casos excepcionais, os atores estão dispostos a ir longe para obter o mais alto nível de persistência na máquina da vítima”, disse o pesquisador da Kaspersky Lab, Mark Lechtik, em um comunicado. 

A empresa descobriu o malware baseado em UEFI em máquinas pertencentes a duas vítimas. Ele funciona para criar um arquivo de Trojan chamado "IntelUpdate.exe" na pasta de inicialização, que se reinstalará mesmo se o usuário o encontrar e excluí-lo.

"Uma vez que esta lógica é executada a partir do flash SPI, não há outra maneira de evitar esse processo a não ser eliminando o firmware malicioso", disse a Kaspersky Lab.

O objetivo do malware é fornecer outras ferramentas de hacker ao computador da vítima, incluindo um ladrão de documentos, que irá buscar arquivos do diretório “Documentos recentes” antes de enviá-los ao servidor de comando e controle do hacker. 

A Kaspersky Lab se absteve de nomear as vítimas, mas disse que os culpados têm procurado computadores pertencentes a “entidades diplomáticas e ONGs na África, Ásia e Europa”. Todas as vítimas têm alguma conexão com a Coreia do Norte, seja por meio de atividades sem fins lucrativos ou pela presença real no país. 

Ao examinar o código de computador do malware, a Kaspersky Lab também percebeu que os processos podem chegar a um servidor de comando e controle anteriormente vinculado a um grupo de hackers patrocinado pelo Estado chinês conhecido como Winnti . Além disso, a empresa de segurança encontrou evidências de que os criadores por trás do malware usaram a língua chinesa ao programar o código. 

Mesmo assim, a Kaspersky Lab está se abstendo de chamar um grupo específico para os ataques. “Como esta é a única ligação entre nossas descobertas e qualquer um dos grupos que usam a porta dos fundos do Winnti, estimamos, com pouca confiança, que é realmente responsável pelos ataques”, acrescentou a Kaspersky Lab. 

Ainda não está claro como o malware baseado em UEFI foi entregue e quais modelos de PC são vulneráveis ​​ao ataque.
A Kaspersky Labs observa que manipular o UEFI é difícil porque requer conhecimento do firmware da máquina e maneiras de explorar o chip flash SPI integrado.

No entanto, a empresa de segurança notou que o malware baseado em UEFI foi criado com a ajuda de documentos que vazaram de uma empresa de vigilância italiana chamada Hacking Team. Em 2015, a empresa teve seus arquivos roubados e despejados online, o que mostrou que a Hacking Team também estava trabalhando em um ataque baseado em UEFI capaz de infectar os modelos Asus X550C e Dell Latitude E6320 através de um pen drive USB. 

“É claro que não podemos excluir outras possibilidades pelas quais o firmware não autorizado foi enviado remotamente, talvez por meio de um mecanismo de atualização comprometido”, acrescentou a Kaspersky Lab. “Esse cenário normalmente exigiria a exploração de vulnerabilidades no processo de autenticação de atualização do BIOS . Embora esse possa ser o caso, não temos nenhuma evidência para apoiá-lo. ”

Para remover o malware, a Kaspersky Lab disse que a vítima precisaria atualizar o firmware da placa-mãe para uma versão legítima.

Esta é a segunda vez que os pesquisadores de segurança descobrem malware projetado para explorar o UEFI. Em 2018, o fornecedor de antivírus ESET relatou uma instância separada de malware baseado em UEFI, apelidado de Lojax, que pode ter vindo de hackers patrocinados pelo estado russo. 

Fonte: PCMAG

« Retornar