mardi, novembre 26, 2024

Le logiciel malveillant MoonBounce se cache dans votre puce BIOS et persiste après le formatage du lecteur

Un nouveau type de malware emprunte un chemin résolument plus furtif et difficile à supprimer dans votre système d’exploitation – il se cache dans votre puce BIOS et reste donc même après la réinstallation de votre système d’exploitation ou le formatage de votre disque dur.

Kaspersky a observé la croissance des menaces de logiciels malveillants du micrologiciel Unified Extensible Firmware Interface (UEFI) depuis 2019, la plupart des logiciels malveillants étant stockés sur la partition système EFI du périphérique de stockage du PC. Cependant, un développement sinistre a été repéré au cours de la nouvelle année avec un nouveau logiciel malveillant UEFI, détecté par les journaux du scanner du micrologiciel de Kasperksy, qui implante un code malveillant dans le flash SPI (Serial Peripheral Interface) de la carte mère. Les chercheurs en sécurité ont surnommé « MoonBounce » ce logiciel malveillant UEFI résidant dans la mémoire flash.

MoonBounce n’est pas le premier malware UEFI découvert dans la nature qui cible le flash SPI. Kaspersky dit que LoJax et MosaicRegressor l’ont précédé. Cependant, MoonBounce montre « des progrès significatifs, avec un flux d’attaque plus compliqué et une plus grande sophistication technique ». Il semble également avoir infecté une machine à distance.

MoonBounce est indéniablement intelligent dans la façon dont il pénètre dans un système et se rend difficile à détecter et à éliminer. « La source de l’infection commence par un ensemble de crochets qui interceptent l’exécution de plusieurs fonctions dans la table des services de démarrage EFI », explique Kaspersky sur son blog SecureList. Les crochets sont ensuite utilisés pour détourner les appels de fonction vers le shellcode malveillant que les attaquants ont ajouté à l’image CORE_DXE. Ceci, à son tour, « établit des crochets supplémentaires dans les composants suivants de la chaîne de démarrage, à savoir le chargeur Windows », ont déclaré les chercheurs en sécurité. Cela permet au logiciel malveillant d’être injecté dans un processus svchost.exe lorsque l’ordinateur démarre sous Windows.

Les valeurs des marqueurs magiques ont été remplacées lors de l’exécution dans les shellcodes de MoonBounce. (Crédit image : Kaspersky Labs)

Transport Technology Company, la seule attaque enregistrée à ce jour

Source-138

- Advertisement -

Latest