MoonBounce, novo malware UEFI à solta
UEFI, abreviação de Unified Extensible Firmware Interface, é simplesmente um componente do sistema, que conecta o sistema operacional com o restante do firmware e dispositivos do sistema. Este é um componente de baixo nível, que não é apagado/substituído em caso de formatação do disco rígido ou reinstalação do sistema operacional. E é por isso que os cibercriminosos estão tão interessados nisso – o desenvolvimento do malware UEFI permite que eles ganhem persistência em um dispositivo comprometido, escondendo-se profundamente nos componentes do sistema. Mesmo que a vítima tente reinstalar seu sistema operacional, ela não conseguirá remover o módulo malicioso. O mais recente malware UEFI a ser encontrado no malware MoonBounce Malware – ele se junta às fileiras de vários outros implantes, que têm a capacidade de residir dentro do UEFI.
O firmware UEFI normalmente é armazenado no chip de armazenamento Serial Peripheral Interface (SPI) nas placas-mãe do computador. Para que ele seja comprometido, os invasores precisarão introduzir uma atualização de firmware maliciosa, que entregaria o código malicioso ao chip SPI.
Por que o malware MoonBounce é especial?
Como já explicado, a capacidade exclusiva desse malware de residir no firmware UEFI torna muito mais difícil identificá-lo e removê-lo. Mas esta propriedade também lhe confere muitas outras vantagens. Para começar, ele não precisa ser executado na inicialização do sistema como a maioria dos malwares modernos – em vez disso, é capaz de funcionar independentemente do sistema operacional.
Claro, por causa de quão furtivo é o MoonBounce Malware, seus recursos são bastante limitados. Infelizmente, sua capacidade de armazenar seus dados no firmware UEFI e operar a partir da memória do sistema o torna uma ameaça muito difícil de lidar. Parece que seu objetivo principal é permitir que invasores implantem malware adicional em dispositivos infectados – assim como um Trojan Dropper.
Parece que as vítimas afetadas pelo Malware MoonBounce tiveram dados confidenciais exfiltrados de seus dispositivos – a espionagem industrial provavelmente será o objetivo principal desta campanha específica. De acordo com pesquisadores de malware, a campanha MoonBounce parece muito semelhante às campanhas anteriores realizadas pelo APT41, um agente de ameaças chinês.
