UEFI Exploit Malware persiste même après la réinstallation du système d'exploitation
Les chercheurs en sécurité ont découvert un cheval de Troie intégré à l'UEFI capable de récolter des données sur des machines MS Windows infectées. Contrairement à d'autres Тrojans populaires, la nouvelle menace perce un trou dans l'interface UEFI (Unified Extensible Firmware Interface), s'implantant ainsi profondément dans la mémoire flash de la carte mère. En conséquence, le logiciel malveillant gagne en persistance sur le PC infecté, ce qui lui confère une immunité contre tout outil antivirus. De plus, le cheval de Troie ne disparaîtrait pas même après une nouvelle installation de votre système d'exploitation MS Windows.
La deuxième fois que des pirates informatiques ont conçu un logiciel malveillant adapté à l'UEFI, cela survient deux ans après l'apparition de la menace Lojax à l'horizon en 2018.
Table des matières
La ou les charges utiles
Le malware basé sur UEFI a servi de porte dérobée à un autre exécutable malveillant appelé «IntelUpdate.exe». Ce dernier vise à fournir des données d'exfiltration de malware supplémentaires à partir de machines infectées. De plus, il se charge lors du démarrage du système, vous frappant encore et encore pour une boucle. Si vous supprimez le fichier .exe, le cheval de Troie situé dans l'UEFI le restaurera lors du prochain démarrage, sauf si vous supprimez complètement le micrologiciel UEFI.
Cibles et suspects
Jusqu'à présent, la plupart des attaques enregistrées ont visé des organisations diplomatiques et non gouvernementales présumées avoir des liens avec la Corée du Nord d'une manière ou d'une autre. Répartis à travers l'Europe, l'Asie et l'Afrique, les victimes ont obtenu le malware via un cadre malveillant appelé MosaicRegressor. Un examen plus approfondi du malware l'a lié à un serveur C&C particulier anciennement associé à Winnti, un cybergang censé être soutenu par les autorités chinoises. La présence de symboles chinois dans le code lui-même soutient également cette théorie. Néanmoins, le manque de preuves tangibles donne à penser que l'allégation peut être une simple spéculation plutôt qu'un fait.
Vecteur d’origine et d’infection
L'origine du malware basé sur l'UEFI remonte à 2015, lorsqu'une société de technologie de surveillance italienne connue sous le nom de Hacking Team a été victime d'un vol de données. Les données - un projet traitant des attaques de logiciels malveillants ciblées par l'UEFI - ont été divulguées sur le Web peu de temps après cet incident. Cependant, il n'est pas clair si les escrocs en charge se sont appuyés sur ces données ou ont exploité une autre vulnérabilité du BIOS à la place. Le vecteur d'infection, en revanche, est tout aussi vague. Bien que les victimes semblent avoir reçu des e-mails de phishing de la part des pirates informatiques en question, aucun de ces e-mails n'a contenu la charge utile.