Clé à emporter
- Des chercheurs en sécurité ont découvert un logiciel malveillant unique qui infecte la mémoire flash de la carte mère.
- Le logiciel malveillant est difficile à supprimer et les chercheurs ne comprennent pas encore comment il pénètre dans l'ordinateur.
-
Les logiciels malveillants Bootkit continueront d'évoluer, préviennent les chercheurs.
Désinfecter un ordinateur demande du temps. Un nouveau logiciel malveillant rend la tâche encore plus fastidieuse puisque les chercheurs en sécurité ont découvert qu'il s'incruste si profondément dans l'ordinateur que vous devrez probablement jeter la carte mère pour vous en débarrasser.
Surnommé MoonBounce par les détectives de sécurité de Kaspersky qui l'ont découvert, le malware, techniquement appelé un bootkit, traverse au-delà du disque dur et s'enfouit dans le micrologiciel de démarrage Unified Extensible Firmware Interface (UEFI) de l'ordinateur.
"L'attaque est très sophistiquée", a déclaré Tomer Bar, directeur de la recherche sur la sécurité chez SafeBreach, à Lifewire par e-mail. "Une fois que la victime est infectée, elle est très persistante car même un formatage du disque dur n'aidera pas."
Nouvelle menace
Les logiciels malveillants Bootkit sont rares, mais pas complètement nouveaux, Kaspersky lui-même en ayant découvert deux autres au cours des deux dernières années. Cependant, ce qui rend MoonBounce unique, c'est qu'il infecte la mémoire flash située sur la carte mère, la rendant insensible aux logiciels antivirus et à tous les autres moyens habituels de suppression des logiciels malveillants.
En fait, les chercheurs de Kaspersky notent que les utilisateurs peuvent réinstaller le système d'exploitation et remplacer le disque dur, mais le bootkit restera sur l'ordinateur infecté jusqu'à ce que les utilisateurs re-flashent la mémoire flash infectée, qu'ils décrivent comme "un processus très complexe", ou remplacer entièrement la carte mère.
Ce qui rend le malware encore plus dangereux, a ajouté Bar, c'est qu'il est sans fichier, ce qui signifie qu'il ne s'appuie pas sur des fichiers que les programmes antivirus peuvent signaler et ne laisse aucune empreinte apparente sur l'ordinateur infecté, ce qui le rend très difficile à tracer.
Sur la base de leur analyse du logiciel malveillant, les chercheurs de Kaspersky notent que MoonBounce est la première étape d'une attaque en plusieurs étapes. Les acteurs voyous derrière MoonBounce utilisent le logiciel malveillant pour s'implanter dans l'ordinateur de la victime, qui, selon eux, peut ensuite être utilisé pour déployer des menaces supplémentaires pour voler des données ou déployer un rançongiciel.
La grâce salvatrice, cependant, est que les chercheurs n'ont trouvé qu'une seule instance du logiciel malveillant jusqu'à présent. "Cependant, il s'agit d'un ensemble de code très sophistiqué, ce qui est préoccupant; à tout le moins, il annonce la probabilité d'autres logiciels malveillants avancés à l'avenir", a averti par e-mail Tim Helming, évangéliste de la sécurité chez DomainTools.
Therese Schachner, consultante en cybersécurité chez VPNBrains, est d'accord. "Étant donné que MoonBounce est particulièrement furtif, il est possible qu'il existe d'autres instances d'attaques MoonBounce qui n'ont pas encore été découvertes."
Inoculer votre ordinateur
Les chercheurs notent que le malware a été détecté uniquement parce que les attaquants ont commis l'erreur d'utiliser les mêmes serveurs de communication (techniquement connus sous le nom de serveurs de commande et de contrôle) qu'un autre malware connu.
Cependant, Helming a ajouté que, comme il n'est pas évident de savoir comment l'infection initiale se produit, il est pratiquement impossible de donner des instructions très précises sur la façon d'éviter d'être infecté. Suivre les meilleures pratiques de sécurité bien acceptées est cependant un bon début.
Alors que les logiciels malveillants eux-mêmes progressent, les comportements de base que l'utilisateur moyen doit éviter pour se protéger n'ont pas vraiment changé. Maintenir les logiciels à jour, en particulier les logiciels de sécurité, est important. Éviter de cliquer sur des liens suspects reste une bonne stratégie », a suggéré Tim Erlin, vice-président de la stratégie chez Tripwire, à Lifewire par e-mail.
… il est possible qu'il y ait d'autres instances d'attaques MoonBounce qui n'ont pas encore été découvertes.
En plus de cette suggestion, Stephen Gates, évangéliste de la sécurité chez Checkmarx, a déclaré à Lifewire par e-mail que l'utilisateur moyen d'un ordinateur de bureau doit aller au-delà des outils antivirus traditionnels, qui ne peuvent pas empêcher les attaques sans fichier, telles que MoonBounce.
"Recherchez des outils qui peuvent tirer parti du contrôle des scripts et de la protection de la mémoire, et essayez d'utiliser des applications d'organisations qui utilisent des méthodologies de développement d'applications sécurisées et modernes, du bas de la pile au sommet", a suggéré Gates.
Bar, d'autre part, a préconisé l'utilisation de technologies, telles que SecureBoot et TPM, pour vérifier que le micrologiciel de démarrage n'a pas été modifié en tant que technique d'atténuation efficace contre les logiciels malveillants de bootkit.
Schachner, sur des lignes similaires, a suggéré que l'installation des mises à jour du micrologiciel UEFI au fur et à mesure de leur publication aidera les utilisateurs à intégrer des correctifs de sécurité qui protègent mieux leurs ordinateurs contre les menaces émergentes telles que MoonBounce.
En outre, elle a également recommandé d'utiliser des plates-formes de sécurité qui intègrent la détection des menaces du micrologiciel. "Ces solutions de sécurité permettent aux utilisateurs d'être informés dès que possible des menaces potentielles de micrologiciels afin qu'elles puissent être traitées en temps opportun avant que les menaces ne s'aggravent."
