MoonBounce, nouveau malware UEFI en liberté
UEFI, abréviation de Unified Extensible Firmware Interface, est simplement un composant système qui connecte le système d'exploitation au reste du micrologiciel et des périphériques du système. Il s'agit d'un composant de bas niveau, qui n'est pas effacé/écrasé en cas de formatage de votre disque dur ou de réinstallation de votre système d'exploitation. Et c'est pourquoi les cybercriminels s'y intéressent tant - le développement de logiciels malveillants UEFI leur permet de gagner en persistance sur un appareil compromis, en se cachant profondément dans les composants du système. Même si la victime tente de réinstaller son système d'exploitation, elle ne parviendra pas à supprimer le module malveillant. Le dernier morceau de malware UEFI à trouver dans le sauvage MoonBounce Malware - il rejoint les rangs de plusieurs autres implants, qui ont la capacité de résider à l'intérieur de l'UEFI.
Le micrologiciel UEFI est généralement stocké sur la puce de stockage SPI (Serial Peripheral Interface) sur les cartes mères des ordinateurs. Pour qu'il soit compromis, les attaquants devront introduire une mise à jour malveillante du micrologiciel, qui fournira le code malveillant à la puce SPI.
Pourquoi le logiciel malveillant MoonBounce est-il spécial ?
Comme déjà expliqué, la capacité unique de ce logiciel malveillant réside dans le micrologiciel UEFI, ce qui le rend beaucoup plus difficile à identifier et à supprimer. Mais cette propriété lui confère également de nombreux autres avantages. Pour commencer, il n'a pas besoin de s'exécuter au démarrage du système comme la plupart des logiciels malveillants modernes - au lieu de cela, il est capable de fonctionner indépendamment du système d'exploitation.
Bien sûr, en raison de la furtivité du logiciel malveillant MoonBounce, ses fonctionnalités sont assez limitées. Malheureusement, sa capacité à stocker ses données dans le micrologiciel UEFI et à fonctionner à partir de la mémoire du système en fait une menace très difficile à gérer. Il semble que son objectif principal soit de permettre aux attaquants de déployer des logiciels malveillants supplémentaires sur les appareils infectés, tout comme un Trojan Dropper.
Il semble que les victimes affectées par le MoonBounce Malware aient eu des données sensibles exfiltrées de leurs appareils - l'espionnage industriel est susceptible d'être l'objectif principal de cette campagne spécifique. Selon les chercheurs sur les logiciels malveillants, la campagne MoonBounce semble très similaire aux campagnes précédentes menées par APT41, un acteur menaçant chinois.
