{"id":16151,"date":"2020-10-13T18:56:24","date_gmt":"2020-10-13T21:56:24","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=16151"},"modified":"2020-10-14T18:03:33","modified_gmt":"2020-10-14T21:03:33","slug":"mosaicregressor-uefi-malware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/mosaicregressor-uefi-malware\/16151\/","title":{"rendered":"Envio do malware MosaicRegressor por bootkit de UEFI"},"content":{"rendered":"

Alguns pesquisadores descobriram uma s\u00e9rie de ataques sofisticados direcionados<\/a> \u00e0s institui\u00e7\u00f5es diplom\u00e1ticas e algumas ONGs na \u00c1sia, Europa e \u00c1frica. Pelo que sabemos, todas as v\u00edtimas est\u00e3o relacionadas com a Coreia do Norte de uma forma ou de outra, por meio de atividades sem fins lucrativos ou por meio de rela\u00e7\u00f5es diplom\u00e1ticas.<\/p>\n

Os invasores usaram um modular framework ciberespa\u00e7o sofisticado que nossos pesquisadores chamaram de MosaicRegressor. Nossa investiga\u00e7\u00e3o revelou que, em alguns casos, o malware foi introduzido nos computadores das v\u00edtimas por meio de UEFIs modificados, um evento muito comum em malware ativo. No entanto, na maioria dos casos, os invasores usam spear-phishing, um m\u00e9todo mais convencional.<\/p>\n

O que \u00e9 UEFI e por que o bootkit \u00e9 perigoso?<\/h2>\n

O UEFI, assim como o BIOS (que substitui), \u00e9 um software executado quando o computador \u00e9 inicializado, antes mesmo do sistema operacional ser iniciado. Al\u00e9m disso, ele n\u00e3o \u00e9 armazenado no disco r\u00edgido, mas em um chip na placa-m\u00e3e. Se os cibercriminosos modificarem o c\u00f3digo UEFI, pode ser potencialmente usado para entregar malware ao sistema da v\u00edtima.<\/p>\n

Isso \u00e9 exatamente o que encontramos na campanha descrita acima. Al\u00e9m disso, ao criar seu firmware UEFI modificado, os invasores usaram o c\u00f3digo-fonte do VectorEDK, um bootkit da Hacking Team que vazou online. Embora o c\u00f3digo-fonte tenha sido disponibilizado publicamente em 2015, esta \u00e9 a primeira evid\u00eancia que encontramos de seu uso por cibercriminosos.<\/p>\n

Quando o sistema \u00e9 iniciado, o bootkit insere o arquivo malicioso IntelUpdate.exe na pasta de inicializa\u00e7\u00e3o do sistema. O execut\u00e1vel baixa e instala outros componentes do MosaicRegressor no computador. Dada a relativa insularidade do UEFI, mesmo se esse arquivo malicioso for detectado, \u00e9 quase imposs\u00edvel remov\u00ea-lo. Excluir ou reinstalar o sistema operacional n\u00e3o ajuda. A \u00fanica maneira de resolver o problema \u00e9 atualizando a placa-m\u00e3e.<\/p>\n\n

Como o MosaicRegressor \u00e9 perigoso? h2<\/h2>\n

Os componentes do MosaicRegressor que chegavam aos computadores das v\u00edtimas (por meio de um UEFI comprometido ou phishing direcionado) conectados a seus servidores C&C, baixavam m\u00f3dulos adicionais e os executavam. Em seguida, esses m\u00f3dulos foram usados \u200b\u200bpara roubar informa\u00e7\u00f5es. Por exemplo, um deles enviou documentos recentemente abertos para os cibercriminosos.<\/p>\n

V\u00e1rios mecanismos foram usados \u200b\u200bpara se comunicar com os servidores C&C: a biblioteca cURL (para HTTP \/ HTTPS), a interface do Background Intelligent Transfer Service (BITS), a interface de programa\u00e7\u00e3o WinHTTP e servi\u00e7os de e-mail que usam o protocolo POP3S, SMTPS ou IMAPS .<\/p>\n

Nesta publica\u00e7\u00e3o do Securelist<\/a>, voc\u00ea encontrar\u00e1 uma an\u00e1lise t\u00e9cnica mais detalhada do framework malicioso do MosaicRegressor, junto com indicadores de comprometimento.<\/p>\n

Como se proteger do MosaicRegressor<\/h2>\n

Para se proteger contra MosaicRegressor, a primeira amea\u00e7a que voc\u00ea deve neutralizar \u00e9 o spear-phishing, pois \u00e9 assim que os ataques mais sofisticados come\u00e7am. Para obter a prote\u00e7\u00e3o do computador dos funcion\u00e1rios, recomendamos que use uma combina\u00e7\u00e3o de produtos de seguran\u00e7a com tecnologias anti-phishing avan\u00e7adas e que ofere\u00e7a treinamento para conscientizar os funcion\u00e1rios<\/a>\u00a0sobre ataques desse tipo.<\/p>\n

Nossas solu\u00e7\u00f5es de seguran\u00e7a<\/a>\u00a0detectam m\u00f3dulos maliciosos cuja miss\u00e3o \u00e9 roubar dados.<\/p>\n

Quanto ao firmware comprometido, infelizmente n\u00e3o sabemos como o bootkit conseguiu penetrar nos computadores das v\u00edtimas. De acordo com informa\u00e7\u00f5es do vazamento do Hacking Team, os invasores provavelmente precisaram de acesso f\u00edsico e usaram uma unidade USB para infectar as m\u00e1quinas. No entanto, outros m\u00e9todos de viola\u00e7\u00e3o de UEFI n\u00e3o podem ser descartados.<\/p>\n

Siga estes passos para se proteger contra o bootkit MosaicRegressor UEFI:<\/p>\n