A Kaspersky Lab descobriu um novo tipo de malware que utiliza a UEFI (Unified Extensible Firmware Interface) para se manter mesmo quando o sistema operativo de um computador é reinstalado.
Um ataque à UEFI é uma ameaça grave porque este sistema é utilizado para fazer arrancar o computador e carregar o sistema operativo. Esta memória é separada do sistema de armazenamento principal do computador, como os discos rígidos ou SSD, e reside na memória flash SPI do computador sob a forma de firmware. Em resultado, qualquer malware que seja integrado na UEFI consegue sobreviver a uma reinstalação do sistema operativo e não é detectado por software antivírus tradicional.
A Kaspersky descobriu esta nova ameaça em máquinas que pertencem a duas vítimas. O malware cria um ficheiro executável na pasta de arranque do sistema operativo chamado ‘IntelUpdate.exe’ que se reinstala mesmo que seja detectado e apagado.
Segundo a Kaspersky, como o software é executado a partir da memória SPI flash, não existe forma de evitar este processo senão eliminar o firmware.
O objectivo deste malware é instalar outras ferramentas que dêem acesso ao computador da vítima, incluindo um programa que rouba documentos (vai buscá-los à pasta de documentos recentes) e depois os envia para um servidor sob o controlo do hacker.
A Kaspersky não identificou as vítimas, mas disse que os ataques são dirigidos a computadores pertencentes a entidades diplomáticas e organizações não-governamentais na África, Ásia e Europa e que todas as vítimas têm em comum o facto de terem uma qualquer ligação à Coreia do Norte.
Na análise ao código deste malwarer, a Kaspersky notou que o programa tenta comunicar com um servidor que se pensa que tenha estado ligado a um grupo de hackers patrocinado pelo estado Chinês, denominado Winnti. Outra pista nesta ligação à China, é o facto de, aparentemente, os criadores do malware terem usado mandarim durante a programação.
Apesar destes indícios, a Kaspersky não identificou nenhum grupo específico como estando por trás dos ataques.
Uma das incógnitas neste caso é a forma como o malware foi injectado no firmware dos computadores e que modelos de computadores é que são vulneráveis a estes ataques. A Kaspersky diz que a manipulação da UEFI é difícil porque requer um grande conhecimento acerca do firmware do computador e sobre a forma de explorar o chip da memória flash SPI que tem.
Contudo, a Kaspersky diz que este malware específico foi criado com a ajuda de documentos de uma empresa de vigilância italiana chamada Hacking Team. Em 2015 alguns ficheiros desta empresa foram roubados e publicados online. Os ficheiros em causa mostravam que a Hacking Team estava a trabalhar num ataque baseado em UEFI dirigido especialmente a computadores Asus X550C e Dell Latitude E6320 que eram infectados através da utilização de uma pendrive.
Segundo a Kaspersky, não se pode descartar a hipótese da injecção de um firmware infectado remotamente.
A única forma de actualmente limpar este malware de uma máquina infectada é através da instalação de um novo firmware que esteja limpo.
Esta é a segunda vez que um malware deste tipo é descoberto. Em 2018 a ESET descobriu um malware baseado em UEFI a que foi dado o nome de Lojax e que se presume que tenha tido origem em hackers patrocinados pelo estado Russo.
