MoonBounce atakuje. Użytkownika nie uratuje nawet format czy wymiana dysku

Pod koniec 2021 roku specjaliści z zespołu Kaspersky spotkali się z nietypowym atakiem. W toku badań okazało się, że malware, które zostało określone nazwą MoonBounce, infekuje UEFI i może zarażać nasz komputer nawet po wymianie dysku.

Malware MoonBounce działa w nietypowy sposób
Malware MoonBounce działa w nietypowy sposób
Źródło zdjęć: © Getty Images | Olemedia
Karolina Kowasz

Serwis Secure List prowadzony przez specjalistów z zespołu Kaspersky zajął się zbadaniem szkodnika MoonBounce. Z informacji wynika, że malware lokuje się w pamięci flash, która znajduje się na płycie głównej, zamiast na dysku twardym. W ten sposób w działaniu nie przeszkadza mu formatowanie lub wymiana dysku.

Sposób działania MoonBounce

Ze względu na fakt, że łańcuch infekcji nie pozostawia żadnych śladów na dysku twardym, ponieważ jego komponenty działają tylko w pamięci, sami eksperci nie byli w stanie dojść, w jaki sposób doszło do infekcji ich urządzeń. Z cyfrowych śladów, jakie zostały jednak zostawione, udało się powiązać MoonBounce z chińską grupą APT41.

Celem działania MoonBouce jest ułatwienie wdrażania złośliwego oprogramowania działającego w trybie użytkownika. Wieloetapowy łańcuch haków ułatwia propagację złośliwego kodu do innych komponentów rozruchowych podczas uruchamiania systemu, umożliwiając wprowadzenie szkodliwego sterownika do przestrzeni adresowej pamięci jądra Windowsa.

Wspomniany sterownik, który działa w początkowej fazie wykonywania jądra, jest odpowiedzialny za wdrażanie złośliwego oprogramowania w trybie użytkownika poprzez wstrzyknięcie go do procesu svchost.exe po uruchomieniu systemu operacyjnego. Ostatecznie złośliwe oprogramowanie działające w trybie użytkownika próbuje pobrać kolejny etap ładunku do uruchomienia w pamięci, jednak eksperci Kaspersky nie byli w stanie go pozyskać.

Schemat działania MoonBounce
Schemat działania MoonBounce© Kaspersky

Zespół badaczy podkreśla, że nie posiada wystarczających danych, aby prześledzić, w jaki sposób UEFI zostało zainfekowane, jednak założono, że sama infekcja została dokonana zdalnie. Dla osób zainteresowanych malware, Kaspersky przygotował specjalny raport, w którym znalazły się wszystkie znane szczegóły, dotyczące jego działania.

Programy

Zobacz więcej
oprogramowaniebezpieczeństwomalware
Wybrane dla Ciebie
Komentarze (136)