Princípios importantes
- Pesquisadores de segurança descobriram um malware exclusivo que infecta a memória flash na placa-mãe.
- O malware é difícil de remover, e os pesquisadores ainda não entendem como ele entra no computador.
-
O malware Bootkit continuará a evoluir, alertam os pesquisadores.
A desinfecção de um computador exige um certo trabalho. Um novo malware torna a tarefa ainda mais complicada, pois os pesquisadores de segurança descobriram que ele se encaixa tão profundamente no computador que você provavelmente terá que jogar fora a placa-mãe para se livrar dele.
Apelidado de MoonBounce pelos detetives de segurança da Kaspersky que o descobriram, o malware, tecnicamente chamado de bootkit, atravessa o disco rígido e se enterra no firmware de inicialização da Unified Extensible Firmware Interface (UEFI) do computador.
"O ataque é muito sofisticado", disse Tomer Bar, diretor de pesquisa de segurança da SafeBreach, à Lifewire por e-mail. "Uma vez que a vítima é infectada, é muito persistente, pois mesmo um formato de disco rígido não ajuda."
Novel Ameaça
Os malwares Bootkit são raros, mas não completamente novos, com a própria Kaspersky tendo descoberto outros dois nos últimos dois anos. No entanto, o que torna o MoonBounce único é que ele infecta a memória flash localizada na placa-mãe, tornando-a imune ao software antivírus e a todos os outros meios usuais de remoção de malware.
Na verdade, os pesquisadores da Kaspersky observam que os usuários podem reinstalar o sistema operacional e substituir o disco rígido, mas o bootkit continuará no computador infectado até que os usuários refaçam a memória flash infectada, que eles descrevem como "um processo muito complexo" ou substitua a placa-mãe inteiramente.
O que torna o malware ainda mais perigoso, acrescentou Bar, é que o malware não tem arquivo, o que significa que não depende de arquivos que os programas antivírus podem sinalizar e não deixa nenhuma pegada aparente no computador infectado, tornando-o muito difícil de rastrear.
Com base em sua análise do malware, os pesquisadores da Kaspersky observam que o MoonBounce é o primeiro passo em um ataque em vários estágios. Os agentes desonestos por trás do MoonBounce usam o malware para estabelecer um ponto de apoio no computador da vítima, que podem ser usados para implantar ameaças adicionais para roubar dados ou implantar ransomware.
A graça salvadora, porém, é que os pesquisadores encontraram apenas uma instância do malware até agora. “No entanto, é um conjunto de código muito sofisticado, o que é preocupante; se nada mais, ele anuncia a probabilidade de outros malwares avançados no futuro”, Tim Helming, evangelista de segurança do DomainTools, alertou a Lifewire por e-mail.
Therese Schachner, consultora de segurança cibernética da VPNBrains concordou. "Como o MoonBounce é particularmente furtivo, é possível que existam instâncias adicionais de ataques MoonBounce que ainda não foram descobertos."
Inocule seu computador
Os pesquisadores observam que o malware foi detectado apenas porque os invasores cometeram o erro de usar os mesmos servidores de comunicação (tecnicamente conhecidos como servidores de comando e controle) que outro malware conhecido.
No entanto, Helming acrescentou que, como não é aparente como a infecção inicial ocorre, é praticamente impossível dar instruções muito específicas sobre como evitar ser infectado. No entanto, seguir as práticas recomendadas de segurança bem aceitas é um bom começo.
"Enquanto o malware em si avança, os comportamentos básicos que o usuário médio deve evitar para se proteger realmente não mudaram. Manter o software atualizado, especialmente o software de segurança, é importante. Evitar clicar em links suspeitos continua sendo uma boa estratégia", sugeriu Tim Erlin, vice-presidente de estratégia da Tripwire, à Lifewire por e-mail.
… é possível que existam instâncias adicionais de ataques MoonBounce que ainda não foram descobertos.
Adicionando a essa sugestão, Stephen Gates, evangelista de segurança da Checkmarx, disse à Lifewire por e-mail que o usuário médio de desktop precisa ir além das ferramentas antivírus tradicionais, que não podem impedir ataques sem arquivo, como o MoonBounce.
"Procure ferramentas que possam alavancar controle de script e proteção de memória, e tente usar aplicativos de organizações que empregam metodologias de desenvolvimento de aplicativos seguras e modernas, desde a base da pilha até o topo ", sugeriu Gates.
Bar, por outro lado, defendeu o uso de tecnologias, como SecureBoot e TPM, para verificar se o firmware de inicialização não foi modificado como uma técnica eficaz de mitigação contra malware de bootkit.
Schachner, em linhas semelhantes, sugeriu que a instalação de atualizações de firmware UEFI à medida que forem lançadas ajudará os usuários a incorporar correções de segurança que protegem melhor seus computadores contra ameaças emergentes, como MoonBounce.
Além disso, ela também recomendou o uso de plataformas de segurança que incorporam detecção de ameaças de firmware. "Essas soluções de segurança permitem que os usuários sejam informados sobre possíveis ameaças de firmware o mais rápido possível, para que possam ser abordadas em tempo hábil antes que as ameaças aumentem."
