Key takeaways
- Sikkerhetsforskere har oppdaget en unik skadelig programvare som infiserer flashminnet på hovedkortet.
- Skadevare er vanskelig å fjerne, og forskere forstår ennå ikke hvordan det kommer inn i datamaskinen i utgangspunktet.
-
Bootkit malware vil fortsette å utvikle seg, advarer forskere.
Å desinfisere en datamaskin krever litt å gjøre som den er. En ny skadelig programvare gjør oppgaven enda mer tungvint siden sikkerhetsforskere har oppdaget at den legger seg så dypt inn i datamaskinen at du sannsynligvis må kaste hovedkortet for å bli kvitt det.
Dubbet MoonBounce av sikkerhetsekspertene hos Kaspersky som oppdaget det, ondsinnet programvare, teknisk k alt en bootkit, går forbi harddisken og graver seg inn i datamaskinens oppstartsfirmware (UEFI) for Unified Extensible Firmware Interface.
"Angrepet er veldig sofistikert," sa Tomer Bar, direktør for sikkerhetsforskning hos SafeBreach, til Lifewire via e-post. "Når offeret er infisert, er det veldig vedvarende siden selv et harddiskformat ikke hjelper."
Novel Threat
Bootkit malware er sjeldne, men ikke helt nye, med Kaspersky selv som har oppdaget to andre i løpet av de siste par årene. Det som imidlertid gjør MoonBounce unik er at den infiserer flash-minnet på hovedkortet, noe som gjør det ugjennomtrengelig for antivirusprogramvare og alle de andre vanlige måtene å fjerne skadelig programvare på.
Faktisk legger Kaspersky-forskerne merke til at brukere kan installere operativsystemet på nytt og erstatte harddisken, men oppstartssettet vil fortsette å forbli på den infiserte datamaskinen til brukerne enten flasher det infiserte flashminnet på nytt, som de beskriver. som "en veldig kompleks prosess", eller erstatte hovedkortet helt.
Det som gjør skadevaren enda farligere, la Bar til, er at skadelig programvare er filløs, noe som betyr at den ikke er avhengig av filer som antivirusprogrammer kan flagge og etterlater ingen synlige fotavtrykk på den infiserte datamaskinen, noe som gjør den veldig vanskelig å spore.
Basert på deres analyse av skadelig programvare, bemerker Kaspersky-forskerne at MoonBounce er det første trinnet i et flertrinnsangrep. De useriøse aktørene bak MoonBounce bruker skadelig programvare for å etablere fotfeste i offerets datamaskin, som de tror kan brukes til å distribuere ytterligere trusler for å stjele data eller distribuere løsepengeprogramvare.
Den reddende nåden er imidlertid at forskerne har funnet bare én forekomst av skadelig programvare til nå. "Men det er et veldig sofistikert sett med kode, noe som er bekymringsfullt; om ikke annet, varsler det sannsynligheten for annen, avansert skadelig programvare i fremtiden," advarte Tim Helming, sikkerhetsevangelist med DomainTools, Lifewire over e-post.
Therese Schachner, Cyber Security-konsulent hos VPNBrains var enig. "Siden MoonBounce er spesielt snikende, er det mulig at det er flere tilfeller av MoonBounce-angrep som ennå ikke er oppdaget."
Inoculate Your Computer
Forskerne legger merke til at skadelig programvare bare ble oppdaget fordi angriperne gjorde feilen ved å bruke de samme kommunikasjonsserverne (teknisk kjent som kommando- og kontrollservere) som en annen kjent skadelig programvare.
Men Helming la til at siden det ikke er tydelig hvordan den første infeksjonen finner sted, er det praktisk t alt umulig å gi veldig spesifikke instruksjoner om hvordan man unngår å bli smittet. Å følge de godt aksepterte beste praksisene for sikkerhet er imidlertid en god start.
"Mens skadevare i seg selv utvikles, har ikke den grunnleggende atferden som gjennomsnittsbrukeren bør unngå for å beskytte seg selv endret seg. Å holde programvare oppdatert, spesielt sikkerhetsprogramvare, er viktig. Å unngå å klikke på mistenkelige lenker er fortsatt en god strategi, " foreslo Tim Erlin, VP for strategi i Tripwire, til Lifewire via e-post.
… det er mulig at det er flere tilfeller av MoonBounce-angrep som ennå ikke er oppdaget.
I tillegg til det forslaget sa Stephen Gates, sikkerhetsevangelist hos Checkmarx, til Lifewire via e-post at den gjennomsnittlige stasjonære brukeren må gå lenger enn tradisjonelle antivirusverktøy, som ikke kan forhindre filløse angrep, som MoonBounce.
"Søk etter verktøy som kan utnytte skriptkontroll og minnebeskyttelse, og prøv å bruke applikasjoner fra organisasjoner som bruker sikre, moderne applikasjonsutviklingsmetoder, fra bunnen av stabelen til toppen," foreslo Gates.
Bar, derimot, gikk inn for bruk av teknologier, som SecureBoot og TPM, for å verifisere at oppstartsfastvaren ikke har blitt modifisert som en effektiv teknikk mot skadelig programvare for bootkit.
Schachner foreslo på lignende måte at installasjon av UEFI-fastvareoppdateringer etter hvert som de utgis vil hjelpe brukere med å innlemme sikkerhetsreparasjoner som bedre beskytter datamaskinene deres mot nye trusler som MoonBounce.
Videre anbef alte hun også å bruke sikkerhetsplattformer som inkluderer gjenkjenning av fastvaretrusler. "Disse sikkerhetsløsningene lar brukere bli informert om potensielle fastvaretrusler så snart som mulig, slik at de kan håndteres i tide før truslene eskalerer."
