Detectado novo tipo de malware capaz de sobreviver a uma reinstalação do sistema operativo

Hack
Imagem de Gordon Johnson por Pixabay

A Kaspersky Lab descobriu um novo tipo de malware que utiliza a UEFI (Unified Extensible Firmware Interface) para se manter mesmo quando o sistema operativo de um computador é reinstalado.

Um ataque à UEFI é uma ameaça grave porque este sistema é utilizado para fazer arrancar o computador e carregar o sistema operativo. Esta memória é separada do sistema de armazenamento principal do computador, como os discos rígidos ou SSD, e reside na memória flash SPI do computador sob a forma de firmware. Em resultado, qualquer malware que seja integrado na UEFI consegue sobreviver a uma reinstalação do sistema operativo e não é detectado por software antivírus tradicional.

A Kaspersky descobriu esta nova ameaça em máquinas que pertencem a duas vítimas. O malware cria um ficheiro executável na pasta de arranque do sistema operativo chamado ‘IntelUpdate.exe’ que se reinstala mesmo que seja detectado e apagado.

Segundo a Kaspersky, como o software é executado a partir da memória SPI flash, não existe forma de evitar este processo senão eliminar o firmware.

O objectivo deste malware é instalar outras ferramentas que dêem acesso ao computador da vítima, incluindo um programa que rouba documentos (vai buscá-los à pasta de documentos recentes) e depois os envia para um servidor sob o controlo do hacker.

A Kaspersky não identificou as vítimas, mas disse que os ataques são dirigidos a computadores pertencentes a entidades diplomáticas e organizações não-governamentais na África, Ásia e Europa e que todas as vítimas têm em comum o facto de terem uma qualquer ligação à Coreia do Norte.

Na análise ao código deste malwarer, a Kaspersky notou que o programa tenta comunicar com um servidor que se pensa que tenha estado ligado a um grupo de hackers patrocinado pelo estado Chinês, denominado Winnti. Outra pista nesta ligação à China, é o facto de, aparentemente, os criadores do malware terem usado mandarim durante a programação. 

Apesar destes indícios, a Kaspersky não identificou nenhum grupo específico como estando por trás dos ataques.

Uma das incógnitas neste caso é a forma como o malware foi injectado no firmware dos computadores e que modelos de computadores é que são vulneráveis a estes ataques. A Kaspersky diz que a manipulação da UEFI é difícil porque requer um grande conhecimento acerca do firmware do computador e sobre a forma de explorar o chip da memória flash SPI que tem.

Contudo, a Kaspersky diz que este malware específico foi criado com a ajuda de documentos de uma empresa de vigilância italiana chamada Hacking Team. Em 2015 alguns ficheiros desta empresa foram roubados e publicados online. Os ficheiros em causa mostravam que a Hacking Team estava a trabalhar num ataque baseado em UEFI dirigido especialmente a computadores Asus X550C e Dell Latitude E6320 que eram infectados através da utilização de uma pendrive.

Segundo a Kaspersky, não se pode descartar a hipótese da injecção de um firmware infectado remotamente.

A única forma de actualmente limpar este malware de uma máquina infectada é através da instalação de um novo firmware que esteja limpo. 

Esta é a segunda vez que um malware deste tipo é descoberto. Em 2018 a ESET descobriu um malware baseado em UEFI a que foi dado o nome de Lojax e que se presume que tenha tido origem em hackers patrocinados pelo estado Russo.