Key takeaways
- Säkerhetsforskare har upptäckt en unik skadlig programvara som infekterar flashminnet på moderkortet.
- Skadlig programvara är svår att ta bort, och forskare förstår ännu inte hur den kommer in i datorn från första början.
-
Bootkit malware kommer att fortsätta att utvecklas, varnar forskare.
Att desinficera en dator tar lite att göra som det är. En ny skadlig programvara gör uppgiften ännu mer besvärlig eftersom säkerhetsforskare har upptäckt att den bäddar in sig så djupt i datorn att du antagligen måste kasta i moderkortet för att bli av med den.
Dubbad MoonBounce av säkerhetsexperterna på Kaspersky som upptäckte det, skadlig programvara, tekniskt kallad bootkit, passerar bortom hårddisken och gräver ner sig i datorns uppstartsfirmware (UEFI) för Unified Extensible Firmware Interface.
"Attacken är mycket sofistikerad", sa Tomer Bar, chef för säkerhetsforskning på SafeBreach, till Lifewire via e-post. "När väl offret är infekterat är det mycket ihållande eftersom inte ens ett hårddiskformat hjälper."
Novel Threat
Bootkit-skadlig programvara är sällsynt, men inte helt ny, eftersom Kaspersky själv har upptäckt två andra under de senaste åren. Det som dock gör MoonBounce unikt är att det infekterar flashminnet på moderkortet, vilket gör det ogenomträngligt för antivirusprogram och alla andra vanliga sätt att ta bort skadlig programvara.
Faktum är att Kaspersky-forskarna noterar att användare kan installera om operativsystemet och byta ut hårddisken, men bootkitet kommer att fortsätta att finnas kvar på den infekterade datorn tills användarna antingen flashar om det infekterade flashminnet, vilket de beskriver som "en mycket komplex process", eller byt ut moderkortet helt.
Det som gör skadlig programvara ännu farligare, tillade Bar, är att den är fillös, vilket innebär att den inte förlitar sig på filer som antivirusprogram kan flagga och lämnar inga synliga fotavtryck på den infekterade datorn, vilket gör den mycket svårt att spåra.
Baserat på sin analys av skadlig programvara, konstaterar Kaspersky-forskarna att MoonBounce är det första steget i en flerstegsattack. De oseriösa skådespelarna bakom MoonBounce använder skadlig programvara för att etablera fotfäste i offrets dator, som de tror kan användas för att distribuera ytterligare hot för att stjäla data eller distribuera ransomware.
Det räddande är dock att forskarna hittills bara har hittat en instans av skadlig programvara. "Men det är en mycket sofistikerad koduppsättning, vilket är oroande; om inte annat så förebådar det sannolikheten för andra avancerade skadliga program i framtiden", varnade Tim Helming, säkerhetsevangelist med DomainTools, Lifewire via e-post.
Therese Schachner, cybersäkerhetskonsult på VPNBrains höll med. "Eftersom MoonBounce är särskilt smygande är det möjligt att det finns ytterligare fall av MoonBounce-attacker som ännu inte har upptäckts."
Ympa din dator
Forskarna noterar att skadlig programvara endast upptäcktes för att angriparna gjorde misstaget att använda samma kommunikationsservrar (tekniskt känd som kommando- och kontrollservrarna) som en annan känd skadlig programvara.
Men Helming tillade att eftersom det inte är uppenbart hur den första infektionen äger rum är det praktiskt taget omöjligt att ge mycket specifika anvisningar om hur man undviker att bli smittad. Att följa de väl accepterade säkerhetsrutinerna är dock en bra början.
"Medan skadlig programvara i sig utvecklas, har de grundläggande beteenden som den genomsnittliga användaren bör undvika för att skydda sig själva inte förändrats. Det är viktigt att hålla programvaran uppdaterad, särskilt säkerhetsprogramvara. Att undvika att klicka på misstänkta länkar är fortfarande en bra strategi", föreslog Tim Erlin, strategichef på Tripwire, till Lifewire via e-post.
… det är möjligt att det finns ytterligare fall av MoonBounce-attacker som ännu inte har upptäckts.
Utöver det förslaget sa Stephen Gates, säkerhetsevangelist på Checkmarx, till Lifewire via e-post att den genomsnittliga datoranvändaren måste gå längre än traditionella antivirusverktyg, som inte kan förhindra fillösa attacker, som MoonBounce.
"Sök efter verktyg som kan utnyttja skriptkontroll och minnesskydd, och försök att använda applikationer från organisationer som använder säkra, moderna applikationsutvecklingsmetoder, från botten av stacken till toppen", föreslog Gates.
Bar, å andra sidan, förespråkade användningen av tekniker, såsom SecureBoot och TPM, för att verifiera att den fasta programvaran för start inte har modifierats som en effektiv teknik mot skadlig programvara för bootkit.
Schachner, på liknande sätt, föreslog att installation av UEFI-firmwareuppdateringar när de släpps kommer att hjälpa användare att införliva säkerhetskorrigeringar som bättre skyddar sina datorer mot nya hot som MoonBounce.
Dessutom rekommenderade hon också att du använder säkerhetsplattformar som inkluderar upptäckt av firmware-hot. "Dessa säkerhetslösningar tillåter användare att informeras om potentiella firmware-hot så snart som möjligt så att de kan åtgärdas i tid innan hoten eskalerar."
