Moonbounce, malware berbahaya yang bersembunyi di memori flash motherboard

Detektif Kaspersky telah mendeteksi rootkit UEFI yang sangat licik untuk kedua kalinya, karena dapat bersembunyi di Flash disk SPI dari motherboard PC. Ini memungkinkan kode berbahaya untuk terus-menerus berada di mesin yang ditargetkan, bahkan jika sistem operasi diinstal ulang atau hard drive diubah. Pendekatan ini sudah terlihat MosaikRegressor, rootkit yang ditemukan Kaspersky pada Oktober 2020. Itu juga ada di LoJax, rootkit yang diluncurkan pada 2018 oleh para peneliti Eset.

Lihat juga videonya:

Dalam dua contoh sebelumnya, kode berbahaya dimasukkan ke dalam firmware chip SPI dalam bentuk driver. Dalam salinan baru ini, yang disebut Kaspersky MoonBounce, itu diintegrasikan ke dalam modul firmware yang ada (CORE_DXE), yang karenanya lebih halus dan lebih sulit untuk dideteksi.

Namun, tujuannya tetap sama. Ini melibatkan pembajakan prosedur boot untuk menginfeksi sistem operasi. Dalam kasus MoonBounce, ini mengarah pada pembuatan driver jahat di ruang memori kernel Windows, yang memungkinkan peretas menyuntikkan malware ke dalam proses svchost.exe yang sah. Malware ini kemudian akan terhubung ke server command-and-control (C&C) untuk mengunduh dan menginstal malware lainnya. Sistem kemudian menemukan dirinya sepenuhnya di bawah kendali peretas, yang tujuannya jelas untuk menemukan dan menyaring data sensitif.

Berdasarkan sejumlah petunjuk teknis – jenis malware yang disebarkan selama rantai infeksi, penggunaan sertifikat khusus untuk komunikasi C&C – peneliti Kaspersky percaya bahwa MoonBounce didukung oleh APT41, juga dikenal sebagai Winnti, grup peretas Tiongkok yang dikenal karena serangannya terhadap rantai pasokan perangkat lunak (pembersih CC, Asus). Penghargaan ini dibuat dengan “tingkat kepercayaan sedang hingga tinggi”, kata Kaspersky.

Bagaimana rootkit ini masuk ke slide SPI, bagaimanapun, tetap menjadi misteri. Namun, para peneliti berasumsi bahwa infeksi ini terjadi dari jarak jauh.

Sumber: Kaspersky

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *