Les chercheurs en cybersécurité de Kaspersky ont découvert une espèce rare de malware qui ne peut pas être supprimée par un antivirus, ou même les mesures les plus extrêmes, comme le formatage ou le remplacement du disque dur.
En fait, le malware, surnommé MoonBounce, ne réside pas sur le disque dur lui-même, mais plutôt dans la mémoire de défaut SPI qui réside sur la carte mère.
Ce type de logiciel malveillant s'appelle un bootkit et, comme l'explique The Record, il ne peut être supprimé qu'en reflashant la mémoire SPI, qu'il décrit comme "un processus très complexe". L'autre solution serait de remplacer complètement la carte mère.
La Chine a encore frappé
MoonBounce est conçu comme un logiciel malveillant de première étape, dans une attaque en plusieurs étapes. Les acteurs malveillants l'utilisent pour garder ouvertes les portes des appareils compromis ou pour déployer des logiciels malveillants de deuxième étape, qui peuvent ensuite servir de collecteurs de données, d'exécuteurs de code, de rançongiciels, etc.
Kaspersky indique qu'une seule instance de MoonBounce a été découverte jusqu'à présent, sur un appareil appartenant à une société de services de transport. Les chercheurs soupçonnent également que MoonBounce est l'œuvre d'APT41, un groupe de cybercriminalité notoire parrainé par l'État et lié aux autorités chinoises.
Les chercheurs affirment que MoonBounce et le logiciel malveillant de deuxième étape, qui a également été trouvé sur l'appareil, communiquaient avec la même infrastructure de serveur, à partir de laquelle APT41 a émis ses instructions.
Pour commencer, Kaspersky ne sait toujours pas comment MoonBounce s'est retrouvé sur l'appareil compromis.
"Par mesure de sécurité contre cette attaque et des attaques similaires, il est recommandé de mettre à jour régulièrement le micrologiciel UEFI et de vérifier que BootGuard, s'il est présent, est activé. De même, il est également recommandé d'activer Trust Platform Modules, au cas où le matériel correspondant serait compatible sur la machine », a déclaré l'équipe de Kaspersky.
MoonBounce est un kit de démarrage Unified Extensible Firmware Interface (UEFI), et le troisième que Kaspersky a créé récemment, après LoJax et MosaicRegressor. Ces derniers mois, les chercheurs ont trouvé plusieurs kits de démarrage UEFI, rappelle The Record, dont ESPectre, ou le kit de démarrage UEFI de FinSpy.
- Vous pouvez également consulter notre liste des meilleurs pare-feu en ce moment.
Par : le fichier