UEFI: crescono i malware che lo attaccano. Il caso MoonBounce

I ricercatori di Kaspersky hanno recentemente scoperto un nuovo malware che non può essere rimosso neppure formattando o sostituendo hard disk o unità SSD.
Ciò che rende unico MoonBounce, così è stata battezzata la nuova minaccia, è che il malware non aggredisce la partizione di sistema EFI dove risiede il bootloader ma prende di mira la memoria flash SPI presente sulla scheda madre (ne avevamo parlato quando abbiamo descritto la procedura che permette di violare i sistemi protetti con BitLocker che non usando il PIN pre-boot).

Diversamente da altri bootkit, quindi, per liberarsi di un’infezione MoonBounce non basta azzerare il contenuto del disco o sostituirlo con un’altra unità perché il codice malevolo resterà nella memoria SPI fintanto che essa non verrà sovrascritta con un procedimento di flashing piuttosto complesso o rimpiazzando la scheda madre.

MoonBounce è il terzo bootkit dopo LoJax e MosaicRegressor che attacca UEFI direttamente e resta in esecuzione nella memoria SPI.
Negli ultimi mesi il numero di questo tipo di minacce è cresciuto notevolmente mettendo bene in evidenza come i criminali informatici abbiano individuato tattiche efficaci per rimanere under-the-radar ed evitare quindi il rilevamento delle minacce da tutti i principali strumenti per la protezione del sistema.

In particolare MoonBounce sarebbe stato utilizzato dagli aggressori per mantenere sempre attiva una “seconda porta di accesso” sui sistemi infettati.

Il consiglio è quello di aggiornare UEFI regolarmente e verificare che la tecnologia Boot Guard, ove disponibile, sia abilitata. “Accertarsi di aver abilitato il supporto TPM sulla macchina è parimenti utile“, ha aggiunto Kaspersky.
La presenza e l’uso del chip TPM 2.0 è diventato requisito indispensabile per l’installazione di Windows 11. Questo e gli altri requisiti possono essere scavalcati ma Microsoft non garantisce la ricezione degli aggiornamenti, compresi quelli di sicurezza, attraverso Windows Update.