Gli aggressori sono stati in grado di installare il bootkit senza dover bypassare i controlli di sicurezza del firmware.
I ricercatori di sicurezza di Kaspersky Lab hanno scoperto una nuova versione dello spyware FinSpy che intercetta il controllo e sostituisce il bootloader UEFI di Windows per infettare i sistemi informatici. Questo metodo ha consentito agli aggressori di installare un bootkit senza dover bypassare i controlli di sicurezza del firmware.
Secondo gli esperti, l’infezione UEFI è rara e difficile da implementare. Sebbene in questo caso gli aggressori non abbiano infettato il firmware UEFI stesso, ma la sua fase di avvio successiva, l’attacco è stato particolarmente nascosto, poiché il modulo dannoso è stato installato su una partizione separata e potrebbe controllare il processo di avvio del dispositivo infetto.
Come notato dai ricercatori, questo è uno dei programmi spyware più difficili da rilevare oggi. Lo spyware viene fornito con quattro diversi livelli di offuscamento oltre al vettore del bootkit UEFI.
A differenza delle versioni precedenti di FinSpy, che contenevano immediatamente il Trojan nell’applicazione infetta, i nuovi campioni sono ora protetti da due componenti: un pre-validatore volatile e un post-validatore.
“Il primo componente esegue diversi controlli di sicurezza per garantire che il dispositivo attaccato non appartenga a un ricercatore di sicurezza informatica. Solo dopo aver superato il controllo, il server fornisce un componente post-validatore. Quindi il server sarà in grado di distribuire un vero e proprio software Trojan”, hanno spiegato gli esperti.
Lo spyware contiene quattro sofisticati offuscatori personalizzati progettati per rallentare l’analisi dello spyware. Inoltre, il Trojan può utilizzare la modalità sviluppatore nei browser per intercettare il traffico protetto dal protocollo HTTPS.
Su tutti i computer infetti dal bootkit UEFI, il Boot Manager di Windows (bootmgfw.efi) è stato sostituito con uno dannoso. Quando UEFI passa l’esecuzione a un bootloader dannoso, prima individua e sostituisce il Boot Manager di Windows originale con una versione con patch in grado di ignorare tutti i controlli di sicurezza. L’infezione tramite MBR (Master Boot Record) è stata registrata su dispositivi meno recenti senza supporto UEFI.