MoonBounce, nuovo malware UEFI in libertà
UEFI, abbreviazione di Unified Extensible Firmware Interface, è semplicemente un componente di sistema, che collega il sistema operativo con il resto del firmware e dei dispositivi del sistema. Questo è un componente di basso livello, che non viene cancellato/sovrascritto in caso di formattazione del disco rigido o di reinstallazione del sistema operativo. Ed è per questo che i criminali informatici sono così interessati: lo sviluppo del malware UEFI consente loro di ottenere persistenza su un dispositivo compromesso, nascondendosi in profondità nei componenti del sistema. Anche se la vittima tenta di reinstallare il proprio sistema operativo, non riuscirà a rimuovere il modulo dannoso. L'ultimo pezzo di malware UEFI che si trova nel selvaggio MoonBounce Malware: si unisce ai ranghi di molti altri impianti, che hanno la capacità di risiedere all'interno dell'UEFI.
Il firmware UEFI è in genere archiviato sul chip di archiviazione SPI (Serial Peripheral Interface) sulle schede madri dei computer. Affinché venga compromesso, gli aggressori dovranno introdurre un aggiornamento del firmware dannoso, che consegnerebbe il codice dannoso al chip SPI.
Perché MoonBounce Malware è speciale?
Come già spiegato, la capacità unica di questo malware di risiedere nel firmware UEFI rende molto più difficile l'identificazione e la rimozione. Ma questa proprietà le conferisce anche molti altri vantaggi. Per cominciare, non è necessario che venga eseguito all'avvio del sistema come la maggior parte dei malware moderni, ma è in grado di funzionare indipendentemente dal sistema operativo.
Ovviamente, a causa della furtività del malware MoonBounce, le sue funzionalità sono piuttosto limitate. Sfortunatamente, la sua capacità di archiviare i suoi dati nel firmware UEFI e di operare dalla memoria del sistema lo trasforma in una minaccia molto difficile da affrontare. Sembra che il suo scopo principale sia consentire agli aggressori di distribuire malware aggiuntivo sui dispositivi infetti, proprio come un Trojan Dropper.
Sembra che le vittime colpite dal malware MoonBounce abbiano esfiltrato dati sensibili dai loro dispositivi: lo spionaggio industriale è probabilmente lo scopo principale di questa specifica campagna. Secondo i ricercatori di malware, la campagna MoonBounce sembra molto simile alle precedenti campagne condotte da APT41, un attore di minacce cinese.