Belangrijkste afhaalrestaurants
- Beveiligingsonderzoekers hebben een unieke malware ontdekt die het flashgeheugen op het moederbord infecteert.
- De malware is moeilijk te verwijderen en onderzoekers begrijpen nog niet hoe het überhaupt in de computer komt.
-
Bootkit-malware zal zich blijven ontwikkelen, waarschuwen onderzoekers.
Het desinfecteren van een computer is even een kwestie van doen. Een nieuwe malware maakt de taak nog omslachtiger omdat beveiligingsonderzoekers hebben ontdekt dat het zich zo diep in de computer nestelt dat je waarschijnlijk het moederbord moet weggooien om het kwijt te raken.
Nagesynchroniseerd met MoonBounce door de beveiligingsspeurneuzen bij Kaspersky die het ontdekten, de malware, technisch gezien een bootkit genoemd, gaat verder dan de harde schijf en nestelt zich in de Unified Extensible Firmware Interface (UEFI)-opstartfirmware van de computer.
"De aanval is zeer geavanceerd", vertelde Tomer Bar, directeur van Security Research bij SafeBreach, via e-mail aan Lifewire. "Als het slachtoffer eenmaal is geïnfecteerd, is het erg hardnekkig, omdat zelfs het formatteren van een harde schijf niet helpt."
Nieuwe dreiging
Bootkit-malware is zeldzaam, maar niet helemaal nieuw, en Kaspersky zelf heeft de afgelopen jaren twee andere ontdekt. Wat MoonBounce echter uniek maakt, is dat het het flashgeheugen op het moederbord infecteert, waardoor het ongevoelig wordt voor antivirussoftware en alle andere gebruikelijke manieren om malware te verwijderen.
In feite merken de Kaspersky-onderzoekers op dat gebruikers het besturingssysteem opnieuw kunnen installeren en de harde schijf kunnen vervangen, maar de bootkit zal op de geïnfecteerde computer blijven staan totdat gebruikers ofwel het geïnfecteerde flashgeheugen opnieuw flashen, wat ze beschrijven als "een zeer complex proces" of volledig vervangen van het moederbord.
Wat de malware nog gevaarlijker maakt, voegde Bar eraan toe, is dat de malware bestandsloos is, wat betekent dat het niet afhankelijk is van bestanden die antivirusprogramma's kunnen markeren en geen zichtbare voetafdruk achterlaat op de geïnfecteerde computer, waardoor het erg moeilijk te traceren.
Op basis van hun analyse van de malware merken de Kaspersky-onderzoekers op dat MoonBounce de eerste stap is in een meertrapsaanval. De malafide acteurs achter MoonBounce gebruiken de malware om voet aan de grond te krijgen op de computer van het slachtoffer, die ze vervolgens kunnen gebruiken om extra bedreigingen in te zetten om gegevens te stelen of ransomware te implementeren.
De goedmaker is echter dat de onderzoekers tot nu toe slechts één exemplaar van de malware hebben gevonden. "Het is echter een zeer geavanceerde set code, wat zorgwekkend is; als er niets anders is, luidt het de kans op andere, geavanceerde malware in de toekomst", waarschuwde Tim Helming, beveiligingsevangelist bij DomainTools, Lifewire via e-mail.
Therese Schachner, Cyber Security Consultant bij VPNBrains was het daarmee eens. "Omdat MoonBounce bijzonder onopvallend is, is het mogelijk dat er nog meer gevallen van MoonBounce-aanvallen zijn die nog niet zijn ontdekt."
Ent uw computer
De onderzoekers merken op dat de malware alleen werd gedetecteerd omdat de aanvallers de fout maakten om dezelfde communicatieservers (technisch bekend als de commando- en controleservers) te gebruiken als een andere bekende malware.
Helming voegde er echter aan toe dat, aangezien het niet duidelijk is hoe de eerste infectie plaatsvindt, het vrijwel onmogelijk is om zeer specifieke aanwijzingen te geven om te voorkomen dat je geïnfecteerd raakt. Het volgen van de algemeen aanvaarde best practices op het gebied van beveiliging is echter een goed begin.
"Terwijl malware zelf vooruitgang boekt, is het basisgedrag dat de gemiddelde gebruiker moet vermijden om zichzelf te beschermen niet echt veranderd. Software up-to-date houden, vooral beveiligingssoftware, is belangrijk. Het vermijden van het klikken op verdachte links blijft een goede strategie", stelde Tim Erlin, VP of strategy bij Tripwire, aan Lifewire per e-mail voor.
… het is mogelijk dat er nog meer gevallen van MoonBounce-aanvallen zijn die nog niet zijn ontdekt.
Als aanvulling op die suggestie vertelde Stephen Gates, Security Evangelist bij Checkmarx, Lifewire via e-mail dat de gemiddelde desktopgebruiker verder moet gaan dan traditionele antivirusprogramma's, die bestandsloze aanvallen, zoals MoonBounce, niet kunnen voorkomen.
"Zoek naar tools die gebruik kunnen maken van scriptbeheer en geheugenbescherming, en probeer applicaties te gebruiken van organisaties die veilige, moderne applicatie-ontwikkelingsmethodologieën gebruiken, van de onderkant van de stapel tot de top", opperde Gates.
Bar, aan de andere kant, pleitte voor het gebruik van technologieën, zoals SecureBoot en TPM, om te controleren of de opstartfirmware niet is aangepast als een effectieve mitigatietechniek tegen bootkit-malware.
Schachner suggereerde op soortgelijke wijze dat het installeren van UEFI-firmware-updates zodra deze worden uitgebracht, gebruikers zal helpen beveiligingsoplossingen op te nemen die hun computers beter beschermen tegen opkomende bedreigingen zoals MoonBounce.
Bovendien raadde ze ook aan om beveiligingsplatforms te gebruiken die detectie van firmware-bedreigingen bevatten. "Deze beveiligingsoplossingen stellen gebruikers in staat om zo snel mogelijk op de hoogte te worden gebracht van potentiële firmware-bedreigingen, zodat ze tijdig kunnen worden aangepakt voordat de bedreigingen escaleren."