Przejdź na

MoonBounce atakuje. Użytkownika nie uratuje nawet format czy wymiana dysku

Pod koniec 2021 roku specjaliści z zespołu Kaspersky spotkali się z nietypowym atakiem. W toku badań okazało się, że malware, które zostało określone nazwą MoonBounce, infekuje UEFI i może zarażać nasz komputer nawet po wymianie dysku.

Malware MoonBounce działa w nietypowy sposóbMalware MoonBounce działa w nietypowy sposób
Źródło zdjęć: © Getty Images | Olemedia
Karolina Kowasz
Karolina Kowasz

Serwis Secure List prowadzony przez specjalistów z zespołu Kaspersky zajął się zbadaniem szkodnika MoonBounce. Z informacji wynika, że malware lokuje się w pamięci flash, która znajduje się na płycie głównej, zamiast na dysku twardym. W ten sposób w działaniu nie przeszkadza mu formatowanie lub wymiana dysku.

Sposób działania MoonBounce

Ze względu na fakt, że łańcuch infekcji nie pozostawia żadnych śladów na dysku twardym, ponieważ jego komponenty działają tylko w pamięci, sami eksperci nie byli w stanie dojść, w jaki sposób doszło do infekcji ich urządzeń. Z cyfrowych śladów, jakie zostały jednak zostawione, udało się powiązać MoonBounce z chińską grupą APT41.

Celem działania MoonBouce jest ułatwienie wdrażania złośliwego oprogramowania działającego w trybie użytkownika. Wieloetapowy łańcuch haków ułatwia propagację złośliwego kodu do innych komponentów rozruchowych podczas uruchamiania systemu, umożliwiając wprowadzenie szkodliwego sterownika do przestrzeni adresowej pamięci jądra Windowsa.

Wspomniany sterownik, który działa w początkowej fazie wykonywania jądra, jest odpowiedzialny za wdrażanie złośliwego oprogramowania w trybie użytkownika poprzez wstrzyknięcie go do procesu svchost.exe po uruchomieniu systemu operacyjnego. Ostatecznie złośliwe oprogramowanie działające w trybie użytkownika próbuje pobrać kolejny etap ładunku do uruchomienia w pamięci, jednak eksperci Kaspersky nie byli w stanie go pozyskać.

Schemat działania MoonBounce
Schemat działania MoonBounce © Kaspersky

Zespół badaczy podkreśla, że nie posiada wystarczających danych, aby prześledzić, w jaki sposób UEFI zostało zainfekowane, jednak założono, że sama infekcja została dokonana zdalnie. Dla osób zainteresowanych malware, Kaspersky przygotował specjalny raport, w którym znalazły się wszystkie znane szczegóły, dotyczące jego działania.

Wybrane dla Ciebie
Nie musisz otwierać Photoshopa. Claude zrobi wszystko za ciebie
Nie musisz otwierać Photoshopa. Claude zrobi wszystko za ciebie
Niebezpieczny trend na TikToku. Wykorzystują do niego dzieci
Niebezpieczny trend na TikToku. Wykorzystują do niego dzieci
Aktualizacja Google Home. Sterowanie szybsze o 1,5 sekundy
Aktualizacja Google Home. Sterowanie szybsze o 1,5 sekundy
Oszustwo "na wypadek". Seniorka miała oddać 50 tys. zł
Oszustwo "na wypadek". Seniorka miała oddać 50 tys. zł
Komunikat mBanku. Dotyczy wszystkich klientów
Komunikat mBanku. Dotyczy wszystkich klientów
Rejestracja auta w mObywatelu. Wiadomo, od kiedy będzie możliwa
Rejestracja auta w mObywatelu. Wiadomo, od kiedy będzie możliwa
Podejrzewasz wyciek danych? Wykorzystaj mObywatela
Podejrzewasz wyciek danych? Wykorzystaj mObywatela
SMS Blastery w autach. Jak działa atak?
SMS Blastery w autach. Jak działa atak?
Yanosik komentuje raport Policji. Co jest przyczyną wypadków?
Yanosik komentuje raport Policji. Co jest przyczyną wypadków?
CERT Orange: AI napędza fałszywe sklepy w sieci
CERT Orange: AI napędza fałszywe sklepy w sieci
Ta aplikacja zmieniła świat. Obchodzi 20. urodziny
Ta aplikacja zmieniła świat. Obchodzi 20. urodziny
ZUS ostrzega przed fałszywymi telefonami. Oszuści żądają 800 zł
ZUS ostrzega przed fałszywymi telefonami. Oszuści żądają 800 zł
MOŻE JESZCZE JEDEN ARTYKUŁ? ZOBACZ CO POLECAMY