Pesquisadores de segurança descobriram recentemente um novo ataque UEFI, onde uma imagem de firmware UEFI comprometida continha um implante malicioso. Parte de uma estrutura de malware chamada MosaicRegressor, o ataque comprometeu as vítimas com laços com a Coreia do Norte entre 2017 e 2019.
Unified Extensible Firmware Interface (UEFI) é uma tecnologia que conecta o firmware de um computador ao seu sistema operacional. O objetivo da UEFI é, eventualmente, substituir o BIOS legado. A tecnologia é instalada durante a fabricação. É também o primeiro programa executado quando um computador é iniciado. Infelizmente, a tecnologia tornou-se alvo de agentes maliciosos em “ataques excepcionalmente persistentes,”Como os pesquisadores da Kaspersky colocaram.
Novo malware UEFI encontrado na natureza
A equipe de pesquisa da Kaspersky descobriu uma imagem de firmware UEFI comprometida que continha um implante malicioso. O objetivo deste implante é executar malware adicional na máquina alvo. O firmware malicioso foi usado em ataques à solta. Este é o segundo caso conhecido de malware UEFI explorado ativamente.
Por que os invasores estão abusando dessa tecnologia? Como se vê, uma das razões é persistência. “O firmware UEFI é um mecanismo perfeito de armazenamento persistente de malware,”Kaspersky diz.
Atacantes sofisticados podem modificar o firmware para que ele implante um código malicioso que é executado após o sistema operacional ser carregado. Uma vez que normalmente é enviado dentro do armazenamento flash SPI que vem com a placa-mãe do computador, tal malware implantado é resistente à reinstalação do sistema operacional ou substituição do disco rígido.
Mais sobre a Estrutura Maliciosa do MosaicRegressor
De acordo com a Kaspersky, componentes da estrutura do MosaicRegressor foram descobertos em uma sequência de ataques direcionados contra diplomatas e africanos, Asiática, e membros europeus de uma ONG. A atividade deles mostrou laços com a Coreia do Norte.
“Artefatos de código em alguns dos componentes da estrutura e sobreposições em C&A infraestrutura C usada durante a campanha sugere que um ator que fala chinês está por trás desses ataques, possivelmente tendo conexões com grupos usando o backdoor Winnti,”O relatório diz.
Pesquisadores de segurança acreditam que Winnti pertence a um grupo guarda-chuva, o que significa que várias frações criminais menores o usam para se identificar com ele. Ano passado, o backdoor do Winnti estava usando o malware Skip-2.0 para infectar servidores Microsoft SQL. A campanha contou com uma vulnerabilidade nos servidores que poderia permitir o acesso aos dados armazenados usando uma string de senha mágica.
Quanto ao novo malware UEFI, parece ser uma versão personalizada do bootkit VectorEDK. O código do bootkit vazou em 2015, e está disponível online desde então. O malware é usado para plantar a estrutura maliciosa do MosaicRegressor, qual é a segunda carga útil. MosaicRegressor é capaz de espionagem cibernética e coleta de dados, e contém downloaders adicionais que podem executar outros, componentes secundários.
Em conclusão
Mesmo que o malware UEFI seja raro, continua a ser um ponto de interesse da APT (Ameaça persistente avançada) atores. Enquanto isso, está sendo negligenciado por fornecedores de segurança. Mais informações sobre o ataque MosaicRegressor estão disponíveis em o relatório Kaspersky original.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: