Key Takeaways
- Sicherheitsforscher haben eine einzigartige Malware entdeckt, die den Flash-Speicher auf dem Motherboard infiziert.
- Die Malware ist schwer zu entfernen und die Forscher verstehen noch nicht, wie sie überhaupt in den Computer gelangt.
-
Bootkit-Malware wird sich weiterentwickeln, warnen Forscher.
Das Desinfizieren eines Computers erfordert ohnehin einiges an Aufwand. Eine neue Malware macht die Aufgabe noch umständlicher, da Sicherheitsforscher herausgefunden haben, dass sie sich so tief in den Computer einbettet, dass Sie wahrscheinlich das Motherboard wegwerfen müssen, um sie loszuwerden.
Von den Sicherheitsdetektiven von Kaspersky, die sie entdeckten, als MoonBounce bezeichnet, wandert die Malware, technisch Bootkit genannt, über die Festplatte hinaus und gräbt sich in die Unified Extensible Firmware Interface (UEFI) Boot-Firmware des Computers ein.
"Der Angriff ist sehr ausgeklügelt", sagte Tomer Bar, Director of Security Research bei SafeBreach, Lifewire per E-Mail. "Sobald das Opfer infiziert ist, ist es sehr hartnäckig, da selbst eine Festplattenformatierung nicht hilft."
Novel Threat
Bootkit-Malware ist selten, aber nicht ganz neu, da Kaspersky selbst in den letzten Jahren zwei weitere entdeckt hat. Was MoonBounce jedoch einzigartig macht, ist die Tatsache, dass es den Flash-Speicher auf der Hauptplatine infiziert und ihn unempfindlich gegen Antivirensoftware und alle anderen üblichen Mittel zum Entfernen von Malware macht.
Tatsächlich stellen die Kaspersky-Forscher fest, dass Benutzer das Betriebssystem neu installieren und die Festplatte ersetzen können, das Bootkit jedoch weiterhin auf dem infizierten Computer verbleibt, bis Benutzer entweder den infizierten Flash-Speicher erneut flashen, was sie beschreiben als "ein sehr komplexer Prozess" oder ersetzen Sie das Motherboard vollständig.
Was die Malware noch gefährlicher macht, fügt Bar hinzu, ist, dass die Malware dateilos ist, was bedeutet, dass sie nicht auf Dateien angewiesen ist, die Antivirenprogramme kennzeichnen können, und keine sichtbaren Spuren auf dem infizierten Computer hinterlässt, was sie sehr macht schwer nachzuvollziehen.
Basierend auf ihrer Analyse der Malware stellen die Kaspersky-Forscher fest, dass MoonBounce der erste Schritt in einem mehrstufigen Angriff ist. Die Schurken hinter MoonBounce nutzen die Malware, um auf dem Computer des Opfers Fuß zu fassen, den sie dann ausloten können, um zusätzliche Bedrohungen einzusetzen, um Daten zu stehlen oder Ransomware einzusetzen.
Die Rettung ist jedoch, dass die Forscher bisher nur eine Instanz der Malware gefunden haben. „Es handelt sich jedoch um einen sehr ausgeklügelten Codesatz, der besorgniserregend ist; nicht zuletzt kündigt er die Wahrscheinlichkeit weiterer, fortschrittlicher Malware in der Zukunft an“, warnte Tim Helming, Sicherheitsevangelist bei DomainTools, Lifewire per E-Mail.
Therese Schachner, Cyber Security Consultant bei VPNBrains stimmte zu. "Da MoonBounce besonders heimlich ist, ist es möglich, dass es weitere Fälle von MoonBounce-Angriffen gibt, die noch nicht entdeckt wurden."
Inokulieren Sie Ihren Computer
Die Forscher stellen fest, dass die Malware nur entdeckt wurde, weil die Angreifer den Fehler gemacht haben, dieselben Kommunikationsserver (technisch bekannt als Command-and-Control-Server) wie eine andere bekannte Malware zu verwenden.
Helming fügte jedoch hinzu, dass es praktisch unmöglich sei, genaue Anweisungen zu geben, wie eine Infektion vermieden werden könne, da nicht ersichtlich ist, wie die Erstinfektion erfolgt. Das Befolgen der anerkannten Best Practices für die Sicherheit ist jedoch ein guter Anfang.
Während sich Malware selbst weiterentwickelt, haben sich die grundlegenden Verh altensweisen, die der durchschnittliche Benutzer vermeiden sollte, um sich selbst zu schützen, nicht wirklich geändert. Software auf dem neuesten Stand zu h alten, insbesondere Sicherheitssoftware, ist wichtig. Es bleibt eine gute Strategie, das Klicken auf verdächtige Links zu vermeiden“, schlug Tim Erlin, VP of Strategy bei Tripwire, Lifewire per E-Mail vor.
… es ist möglich, dass es weitere Fälle von MoonBounce-Angriffen gibt, die noch nicht entdeckt wurden.
Hinzufügend zu diesem Vorschlag teilte Stephen Gates, Security Evangelist bei Checkmarx, Lifewire per E-Mail mit, dass der durchschnittliche Desktop-Benutzer über traditionelle Antivirus-Tools hinausgehen muss, die dateilose Angriffe wie MoonBounce nicht verhindern können.
"Suchen Sie nach Tools, die Skriptsteuerung und Speicherschutz nutzen können, und versuchen Sie, Anwendungen von Organisationen zu verwenden, die sichere, moderne Anwendungsentwicklungsmethoden einsetzen, von unten nach oben", schlug Gates vor.
Bar hingegen befürwortete den Einsatz von Technologien wie SecureBoot und TPM, um zu überprüfen, ob die Boot-Firmware nicht modifiziert wurde, als wirksame Methode zur Abwehr von Bootkit-Malware.
Schachner schlug in ähnlicher Weise vor, dass die Installation von UEFI-Firmware-Updates, sobald sie veröffentlicht werden, Benutzern helfen wird, Sicherheitsfixes zu integrieren, die ihre Computer besser vor neuen Bedrohungen wie MoonBounce schützen.
Darüber hinaus empfahl sie die Verwendung von Sicherheitsplattformen, die eine Erkennung von Firmware-Bedrohungen beinh alten. "Mit diesen Sicherheitslösungen können Benutzer so schnell wie möglich über potenzielle Firmware-Bedrohungen informiert werden, damit sie rechtzeitig angegangen werden können, bevor die Bedrohungen eskalieren."
