Points clés à retenir
- Des chercheurs en sécurité ont découvert un logiciel malveillant unique qui infecte la mémoire flash de la carte mère.
- Le logiciel malveillant est difficile à supprimer et les chercheurs ne comprennent pas encore comment il pénètre dans l'ordinateur.
- Les logiciels malveillants Bootkit continueront d'évoluer, préviennent les chercheurs.
Désinfecter un ordinateur demande du travail. Un nouveau logiciel malveillant rend la tâche encore plus lourde puisque les chercheurs en sécurité ont découvert qu'il s'incruste si profondément dans l'ordinateur que vous devrez probablement jeter la carte mère pour vous en débarrasser.
Que s'est-il passé?
Surnommé MoonBounce par les chercheurs en sécurité de Kaspersky qui l'ont découvert, le logiciel malveillant, techniquement appelé bootkit, traverse au-delà du disque dur et s'enfouit dans le micrologiciel de démarrage Unified Extensible Firmware Interface (UEFI) de l'ordinateur.
"L'attaque est très sophistiquée" , a déclaré Tomer Bar , directeur de la recherche sur la sécurité chez SafeBreach , "Une fois que la victime est infectée, même un formatage du disque dur n'aidera pas."
Nouvelle menace
Les logiciels malveillants Bootkit sont rares, mais pas complètement nouveaux, Kaspersky lui-même en ayant découvert deux autres au cours des deux dernières années. Cependant, ce qui rend MoonBounce unique, c'est qu'il infecte la mémoire flash située sur la carte mère, la rendant insensible aux logiciels antivirus et à tous les autres moyens habituels de suppression des logiciels malveillants.
En fait, les chercheurs de Kaspersky notent que les utilisateurs peuvent réinstaller le système d'exploitation et remplacer le disque dur, mais le bootkit restera sur l'ordinateur infecté jusqu'à ce que les utilisateurs reflashent à nouveau la mémoire flash infectée, un processus très complexe". ou remplacez entièrement la carte mère.
Ce qui rend le malware encore plus dangereux, a ajouté Bar, c'est que le malware est sans fichier, ce qui signifie qu'il ne s'appuie pas sur des fichiers que les programmes antivirus peuvent signaler et ne laisse aucune empreinte apparente sur l'ordinateur infecté, ce qui le rend très difficile à tracer.
un logiciel malveillant sophistiqué dans le firmware UEFI
Sur la base de leur analyse du logiciel malveillant, les chercheurs de Kaspersky notent que MoonBounce est la première étape d'une attaque en plusieurs étapes. Les acteurs derrière MoonBounce utilisent le logiciel malveillant pour s'implanter dans l'ordinateur de la victime, qui, selon eux, peut ensuite être utilisé pour déployer des menaces supplémentaires pour voler des données ou déployer un rançongiciel.
les chercheurs n'ont trouvé qu'une seule instance du malware jusqu'à présent. "Cependant, c'est un ensemble de code très sophistiqué, ce qui est préoccupant ; il annonce la probabilité d'autres logiciels malveillants avancés à l'avenir" , a averti Tim Helming , chercheur en sécurité chez DomainTools .
Therese Schachner , consultante en cybersécurité chez VPNBrains , est d' accord. "Étant donné que MoonBounce est particulièrement furtif, il est possible qu'il existe d'autres cas d'attaques MoonBounce qui n'ont pas encore été découverts."
Inoculer votre ordinateur
Les chercheurs notent que le malware a été détecté uniquement parce que les attaquants ont commis l'erreur d'utiliser les mêmes serveurs de communication (techniquement connus sous le nom de serveurs de commande et de contrôle) d'un autre malware connu.
Cependant, Helming a ajouté que, comme on ne sait pas comment l'infection initiale se produit, il est pratiquement impossible de donner des instructions très précises sur la façon d'éviter d'être infecté. Suivre les meilleures pratiques de sécurité est cependant un bon début.
"Alors que les logiciels malveillants eux-mêmes progressent, les comportements de base que l'utilisateur moyen doit éviter pour se protéger n'ont pas vraiment changé. Maintenir les logiciels à jour, en particulier les logiciels de sécurité, est important. Éviter de cliquer sur des liens suspects reste une bonne stratégie", Tim Erlin , vice-président de la stratégie chez Tripwire , a suggéré sur linkedin.
"... il est possible qu'il y ait d'autres cas d'attaques MoonBounce qui n'ont pas encore été découverts."
En plus de cette suggestion, Stephen Gates , Security Evangelist chez Checkmarx , a déclaré que l'utilisateur moyen d'un ordinateur de bureau doit aller au-delà des outils antivirus traditionnels, qui ne peuvent pas empêcher les attaques sans fichier, telles que MoonBounce.
"Recherchez des outils capables de tirer parti du contrôle des scripts et de la protection de la mémoire, et essayez d'utiliser des applications d'organisations qui utilisent des méthodologies de développement d'applications sécurisées et modernes, du bas de la pile au sommet", a suggéré Gates.
en, d'autre part, a préconisé l'utilisation de technologies, telles que SecureBoot et TPM , pour vérifier que le micrologiciel de démarrage n'a pas été modifié comme technique d'atténuation efficace contre les logiciels malveillants bootkit.
Checkmarx, dans le même esprit, a suggéré que l'installation des mises à jour du micrologiciel UEFI au fur et à mesure de leur publication aidera les utilisateurs à intégrer des correctifs de sécurité qui protègent mieux leurs ordinateurs contre les menaces émergentes telles que MoonBounce.
Conclusion
En outre, il a également recommandé d'utiliser des plates-formes de sécurité qui intègrent la détection des menaces de micrologiciel. "Ces solutions de sécurité permettent aux utilisateurs d'être informés dès que possible des menaces potentielles de micrologiciels afin qu'elles puissent être traitées en temps opportun avant que les menaces ne s'aggravent."
COMMENTS