Da asporto chiave
- I ricercatori di sicurezza hanno scoperto un malware unico che infetta la memoria flash sulla scheda madre.
- Il malware è difficile da rimuovere e i ricercatori non hanno ancora capito come entra nel computer in primo luogo.
-
Il malware Bootkit continuerà ad evolversi, avvertono i ricercatori.
Disinfettare un computer richiede un po' di lavoro così com'è. Un nuovo malware rende il compito ancora più ingombrante poiché i ricercatori di sicurezza hanno scoperto che si radica così profondamente nel computer che probabilmente dovrai buttare via la scheda madre per sbarazzartene.
Soprannominato MoonBounce dagli investigatori della sicurezza di Kaspersky che lo hanno scoperto, il malware, tecnicamente chiamato bootkit, attraversa il disco rigido e si insinua nel firmware di avvio UEFI (Unified Extensible Firmware Interface) del computer.
"L'attacco è molto sofisticato", ha detto a Lifewire via e-mail Tomer Bar, direttore della ricerca sulla sicurezza di SafeBreach. "Una volta che la vittima è stata infettata, è molto persistente poiché anche il formato del disco rigido non aiuta."
Nuova minaccia
I malware Bootkit sono rari, ma non del tutto nuovi, dato che Kaspersky stesso ne ha scoperti altri due negli ultimi due anni. Tuttavia, ciò che rende unico MoonBounce è che infetta la memoria flash situata sulla scheda madre, rendendola impermeabile al software antivirus e a tutti gli altri metodi usuali per rimuovere il malware.
In effetti, i ricercatori di Kaspersky osservano che gli utenti possono reinstallare il sistema operativo e sostituire il disco rigido, ma il bootkit continuerà a rimanere sul computer infetto fino a quando gli utenti non eseguiranno nuovamente il flashing della memoria flash infetta, che descrivono come "un processo molto complesso" o sostituire completamente la scheda madre.
Ciò che rende il malware ancora più pericoloso, ha aggiunto Bar, è che il malware è privo di file, il che significa che non si basa su file che i programmi antivirus possono contrassegnare e non lascia alcuna impronta apparente sul computer infetto, il che lo rende molto difficile da rintracciare.
Sulla base della loro analisi del malware, i ricercatori di Kaspersky osservano che MoonBounce è il primo passo in un attacco a più stadi. Gli attori canaglia dietro MoonBounce utilizzano il malware per stabilire un punto d'appoggio nel computer della vittima, che a loro avviso può quindi essere utilizzato per implementare ulteriori minacce per rubare dati o distribuire ransomware.
La grazia salvifica, tuttavia, è che i ricercatori hanno trovato solo un'istanza del malware fino ad ora. "Tuttavia, è un insieme di codice molto sofisticato, che è preoccupante; se non altro, preannuncia la probabilità di altri malware avanzati in futuro", Tim Helming, security evangelist di DomainTools, ha avvertito Lifewire via e-mail.
Therese Schachner, consulente per la sicurezza informatica presso VPNBrains è d'accordo. "Dato che MoonBounce è particolarmente furtivo, è possibile che ci siano ulteriori istanze di attacchi MoonBounce che non sono stati ancora scoperti."
Inoculare il tuo computer
I ricercatori osservano che il malware è stato rilevato solo perché gli aggressori hanno commesso l'errore di utilizzare gli stessi server di comunicazione (tecnicamente noti come server di comando e controllo) di un altro malware noto.
Tuttavia, Helming ha aggiunto che poiché non è chiaro come avvenga l'infezione iniziale, è praticamente impossibile dare indicazioni molto specifiche su come evitare di essere infettati. Tuttavia, seguire le best practice di sicurezza ben accettate è un buon inizio.
"Mentre il malware stesso avanza, i comportamenti di base che l'utente medio dovrebbe evitare per proteggersi non sono cambiati. Mantenere aggiornato il software, in particolare il software di sicurezza, è importante. Evitare di fare clic su collegamenti sospetti rimane una buona strategia ", ha suggerito a Lifewire via e-mail Tim Erlin, vicepresidente della strategia di Tripwire.
… è possibile che ci siano ulteriori istanze di attacchi MoonBounce che non sono ancora stati scoperti.
Aggiungendo questo suggerimento, Stephen Gates, Security Evangelist di Checkmarx, ha detto a Lifewire via e-mail che l'utente desktop medio deve andare oltre i tradizionali strumenti antivirus, che non possono impedire attacchi senza file, come MoonBounce.
"Cerca strumenti in grado di sfruttare il controllo degli script e la protezione della memoria e prova a utilizzare le applicazioni di organizzazioni che utilizzano metodologie di sviluppo di applicazioni moderne e sicure, dal fondo dello stack all' alto", ha suggerito Gates.
Bar, d' altra parte, ha sostenuto l'uso di tecnologie, come SecureBoot e TPM, per verificare che il firmware di avvio non sia stato modificato come tecnica di mitigazione efficace contro il malware bootkit.
Schachner, su linee simili, ha suggerito che l'installazione degli aggiornamenti del firmware UEFI man mano che vengono rilasciati aiuterà gli utenti a incorporare correzioni di sicurezza che proteggono meglio i loro computer da minacce emergenti come MoonBounce.
Inoltre, ha anche consigliato di utilizzare piattaforme di sicurezza che incorporano il rilevamento delle minacce al firmware. "Queste soluzioni di sicurezza consentono agli utenti di essere informati delle potenziali minacce al firmware il prima possibile in modo che possano essere affrontate in modo tempestivo prima che le minacce si intensifichino."
