Même le remplacement du disque dur ne supprimera pas ce logiciel malveillant
Points clés à retenir
- Des chercheurs en sécurité ont découvert un logiciel malveillant unique qui infecte la mémoire flash des cartes mères.
- Le logiciel malveillant est difficile à supprimer et les chercheurs ne comprennent pas encore comment il s’est introduit dans les ordinateurs.
- Les chercheurs avertissent que les logiciels malveillants Bootkit continueront d’évoluer.
Jean César Panelo/Getty Images
Désinfecter un ordinateur nécessite quelques petites choses. Un nouveau type de malware a rendu la tâche encore plus fastidieuse, car les chercheurs en sécurité ont découvert qu’il est tellement intégré dans les ordinateurs que vous devrez peut-être jeter la carte mère pour vous en débarrasser.
Appelé MoonBounce par les détectives de sécurité de Kaspersky qui l’ont découvert, le logiciel malveillant, techniquement connu sous le nom de bootkit, traverse les disques durs et pénètre dans le micrologiciel de démarrage Unified Extensible Firmware Interface (UEFI) d’un ordinateur.
« L’attaque était très sophistiquée », a déclaré Tomer Bar, directeur de la recherche sur la sécurité chez SafeBreach, à ledigitalpost par e-mail. « Une fois que la victime est infectée, c’est très persistant car même un formatage du disque dur n’aidera pas. »
nouvelles menaces
Les logiciels malveillants Bootkit sont rares, mais pas entièrement nouveaux, Kaspersky lui-même ayant découvert deux autres logiciels malveillants au cours des dernières années. Cependant, MoonBounce est unique en ce sens qu’il infecte la mémoire flash située sur la carte mère, la rendant insensible aux logiciels antivirus et à tous les autres moyens courants de suppression des logiciels malveillants.
En fait, les chercheurs de Kaspersky soulignent que les utilisateurs peuvent réinstaller le système d’exploitation et remplacer le disque dur, mais le bootkit restera sur l’ordinateur infecté jusqu’à ce que l’utilisateur reflashe le flash infecté, qu’ils décrivent comme « un processus très complexe » ou un processus complet. remplacement de la carte mère.
Manfred Rutz/Getty Images
Ce qui rend le malware encore plus dangereux, c’est qu’il est sans fichier, ce qui signifie qu’il ne s’appuie pas sur des fichiers que les programmes antivirus peuvent signaler, et qu’il n’a aucune empreinte visible sur un ordinateur infecté, ce qui le rend difficile à localiser, a ajouté Bar. .
Sur la base d’une analyse du logiciel malveillant, les chercheurs de Kaspersky ont noté que MoonBounce est la première étape d’une attaque en plusieurs étapes. Les acteurs voyous derrière MoonBounce utilisent le malware pour s’implanter dans les ordinateurs des victimes, qu’ils peuvent ensuite utiliser pour déployer d’autres menaces pour voler des données ou déployer des ransomwares.
La grâce salvatrice, cependant, est que les chercheurs n’ont trouvé qu’une seule instance du malware jusqu’à présent. « Cependant, il s’agit d’un ensemble de code très complexe qui est inquiétant ; à tout le moins, il laisse présager la possibilité d’autres logiciels malveillants avancés à l’avenir », a averti Tim Helming, évangéliste de la sécurité de DomainTools, par e-mail.
Therese Schachner, consultante en cybersécurité chez VPNBrains, est d’accord. « Parce que MoonBounce est particulièrement furtif, il peut y avoir d’autres cas d’attaques MoonBounce qui n’ont pas encore été découverts. »
Inoculer votre ordinateur
Les chercheurs ont noté que le logiciel malveillant n’a été détecté que parce que les attaquants ont utilisé par erreur le même serveur de communication (techniquement connu sous le nom de serveur de commande et de contrôle) qu’un autre logiciel malveillant connu.
Cependant, Helming a ajouté que parce qu’il n’est pas évident de savoir comment l’infection initiale s’est produite, il est presque impossible de donner des conseils très spécifiques sur la façon de l’éviter. Cependant, suivre les meilleures pratiques de sécurité acceptées est un bon début.
« Alors que les logiciels malveillants eux-mêmes s’améliorent, les comportements de base que l’utilisateur moyen devrait éviter pour se protéger n’ont pas vraiment changé. Maintenir les logiciels à jour, en particulier les logiciels de sécurité, est important. Éviter de cliquer sur des liens suspects reste une bonne stratégie. « , a-t-il déclaré. Tim Erlin, vice-président de la stratégie chez Tripwire, conseille ledigitalpost par e-mail.
… il peut y avoir d’autres cas d’attaques MoonBounce qui n’ont pas encore été découverts.
Stephen Gates, l’évangéliste de la sécurité de Checkmarx, a déclaré à ledigitalpost par e-mail que l’utilisateur moyen d’un ordinateur de bureau doit regarder au-delà des outils antivirus traditionnels, qui ne peuvent pas empêcher les attaques sans fichier, telles que MoonBounce.
« Recherchez des outils capables de tirer parti du contrôle des scripts et de la protection de la mémoire, et expérimentez des applications d’organisations dotées de méthodes de développement d’applications sécurisées et modernes, de bas en haut de la pile », conseille Gates.
Olé Media/Getty Images
D’autre part, Bar préconise l’utilisation de techniques telles que SecureBoot et TPM pour vérifier que le micrologiciel de démarrage n’a pas été modifié en tant que techniques d’atténuation efficaces contre les logiciels malveillants de bootkit.
De la même manière, Schachner suggère que l’installation des mises à jour du micrologiciel UEFI dès leur sortie aidera les utilisateurs à intégrer des correctifs de sécurité pour mieux protéger leurs ordinateurs contre les menaces émergentes telles que MoonBounce.
En outre, elle recommande d’utiliser une plate-forme de sécurité qui inclut la détection des menaces du micrologiciel. « Ces solutions de sécurité permettent aux utilisateurs de se renseigner sur les menaces potentielles de micrologiciel le plus rapidement possible afin qu’elles puissent être traitées en temps opportun avant que les menaces ne s’aggravent. »
Merci de nous en informer!
Dites-nous pourquoi !
D’autres détails ne sont pas assez difficiles à comprendre
