PCGuia PCGuia
  • [email protected]
  • Dicas
    • Apps
    • Descomplicómetro
    • Download da semana
    • Guia completo
    • Inteligência Artificial
    • Linux
    • Modding
    • Photoshop
    • Teste de velocidade da Internet
    • Open Source
  • MacGuia
  • Jogos
  • Notícias
    • Ambiente
    • Apps
    • Ciência
    • Curiosidades
    • Hardware
    • Inteligência Artificial
    • Internet
    • Mercados
    • Mobilidade
    • Multimédia
    • Robots
    • Segurança
    • Software
    • Startup
    • Especiais
      • Especial PCGuia
      • História
  • Reviews
    • Armazenamento
    • Áudio
    • Componentes
    • Desktops
    • Gadgets
    • Imagem
    • Mobilidade
    • Periféricos
    • Robótica
  • Opinião
    • Conceito Humanoide
    • Há Uma App Para Tudo
    • O Que Vem à Rede
    • Praia das Maçãs
    • Quinta Coluna
  • Precisa de ajuda?
  • Contactos
  • Como testamos os produtos
  • Termos de utilização
  • Política de privacidade e cookies
  • Estatuto Editorial
  • Declaração de Privacidade
  • Política de Cookies
© 2023 - Fidemo Sociedade de Media
A ler: Kaspersky detecta malware que usa o firmware do PC para executar código malicioso
Font ResizerAa
PCGuia PCGuia
Font ResizerAa
Procurar
  • Dicas
  • Jogos
  • Linux
  • Notícias
  • Opinião
  • Reviews
  • Cookie Policy
© 2023 Fidemo Sociedade de Média
PCGuia > Notícias > Segurança > Kaspersky detecta malware que usa o firmware do PC para executar código malicioso
NotíciasSegurança

Kaspersky detecta malware que usa o firmware do PC para executar código malicioso

Pedro Tróia
Publicado em 24 de Janeiro, 2022
Tempo de leitura: 4 min
UEFI

Quando se fala em malware, a primeira coisa de que nos lembramos é de anexos de email suspeitos ou vírus que estão em sites de reputação duvidosa. No entanto, estas formas de infecção com malware são apenas a parte mais visível das ameaças à segurança dos dados que estão disponíveis no arsenal dos atacantes e, muitas vezes, também são as menos sofisticadas. A Kaspersky descobriu recentemente um novo malware que funciona directamente na memória do computador e que deixa muito poucos traços que permitam a sua identificação. Felizmente, este tipo de infecções tem alvos muito concretos e é relativamente fácil manter-se seguro, usando uma estratégia correcta e as ferramentas certas.

- Publicidade -

No ano passado, um produto de detecção de ameaças da Kaspersky, chamado ‘Firmware Scanner’, detectou uma UEAFI (Unified Extensible Firmware Interface, o sistema que veio substituir a BIOS dos computadores nas tarefas de gestão de periféricos e de arranque do computador), que tinha sido infectada através de um único componente. Esta infecção, que foi baptizada como ‘MoonBounce’ permitia aos atacantes alterarem a forma como o computador arrancava e assim executar código malicioso. Esse código era instalado na memória flash onde também está o firmware do computador, permitindo-lhe manter-se sempre activo, mesmo que se limpasse (ou substituísse) a drive de arranque da máquina.

Esta infecção usava a porção ‘CORE_DXE’ do firmware, que é usada durante da fase ‘Driver Execution Environment’ da sequência de arranque do computador. Durante esta fase, a ‘CORE_DXE’ carrega um conjunto de rotinas para um determinado número de localizações da memória RAM e que podem ser chamadas por outros drivers DXE durante a sequência de arranque. A infecção começa quando algumas funções são interceptadas na memória antes de serem executadas. Em vez dos comandos verdadeiros, é executado código controlado pelos atacantes, que foi anexado à imagem do software ‘CORE_DXE’ e assim é espalhado a outros componentes do arranque do computador durante o arranque do PC.

Assim que o código malicioso chega ao kernel do Windows, o malware é injectado num processo svchost.exe, depois de o sistema operativo ter acabado de arrancar. De seguida, este malware tenta comunicar com um servidor remoto, para tentar obter mais malware para executar a partir da memória do computador.

De acordo com o blogue da Kaspersky, Securelist, este método de ataque foi apenas detectado num único computador, em conjunto com alguns fragmentos de código, todos em máquinas que estavam na mesma rede. Foram também detectadas várias tentativas de acesso ao servidor dos atacantes com origem na infra-estrutura de rede de uma “organização que controla várias empresas relacionadas com tecnologias de transportes”. Isto quer dizer que, em princípio, os utilizadores comuns não está em risco e que estas acções estão ligadas a actividades de espionagem levadas a cabo pelas organizações Advanced Persistent Threat (APT) 41, Earth Baku ou SparklingGoblin.

Apesar de, aparentemente, estes ataques serem muito limitados, o Securelist aconselha os utilizadores comuns a manter o firmware UEFI o mais actualizado possível e verificar se a funcionalidade ‘BootGuard’ está ligada (se aplicável). Para além disto, sugere que os módulos Trusted Platform estão a funcionar e a utilizar ferramentas anti-malware que incluam uma funcionalidade que lhe permita verificar a integridade do firmware dos computadores.

- Publicidade -
- Publicidade -
Etiquetas:BIOSKasperskyMalwareMoonBounceUEFI
Ad image
Apoio
Ad image Ad image

Também lhe pode interessar

InternetNotícias

Estão a circular outra vez clips de videojogos que tentam passar por vídeos reais de um conflito, desta vez é o que opõe Israel ao Irão

Tempo de leitura: 7 min
WhatsApp
InternetMercadosNotícias

Afinal, para já, o WhatsApp não vai ter publicidade no espaço europeu

Tempo de leitura: 3 min
Windows Update
NotíciasSoftware

Microsoft começa a remover drivers antigos do Windows Update

Tempo de leitura: 3 min
Netflix_Logo
MultimédiaNotícias

Netflix transforma-se num operador de TV com uma nova parceria com a TF1

Tempo de leitura: 4 min
© 2023 Fidemo Sociedade de Media
Gerir a sua privacidade

Para fornecer as melhores experiências, nós e os nossos parceiros usamos tecnologias como cookies para armazenar e/ou aceder a informações do dispositivo. O consentimento para essas tecnologias permitirá que nós e os nossos parceiros processemos dados pessoais, como comportamento de navegação ou IDs exclusivos neste site e mostrar anúncios (não) personalizados. Não consentir ou retirar o consentimento pode afetar adversamente certos recursos e funções.

Clique abaixo para consentir com o acima ou fazer escolhas granulares. As suas escolhas serão aplicadas apenas a este site. Pode alterar suas configurações a qualquer momento, incluindo a retirada de seu consentimento, usando os botões de alternância na Política de Cookies ou clicando no botão de consentimento para gerir na parte inferior do ecrã.

Funcional Sempre ativo
O armazenamento ou acesso técnico é estritamente necessário para o fim legítimo de permitir a utilização de um determinado serviço expressamente solicitado pelo assinante ou utilizador, ou para o fim exclusivo de efetuar a transmissão de uma comunicação numa rede de comunicações eletrónicas.
Preferências
O armazenamento ou acesso técnico é necessário para o propósito legítimo de armazenamento de preferências não solicitadas pelo assinante ou utilizador.
Estatísticas
O armazenamento técnico ou acesso que é usado exclusivamente para fins estatísticos. O armazenamento técnico ou acesso que é usado exclusivamente para fins estatísticos anónimos. Sem uma intimação, conformidade voluntária por parte do seu Fornecedor de Serviços de Internet ou registos adicionais de terceiros, as informações armazenadas ou recuperadas apenas para esse fim geralmente não podem ser usadas para identificá-lo.
Marketing
O armazenamento ou acesso técnico é necessário para criar perfis de utilizador para enviar publicidade ou para rastrear o utilizador num site ou em vários sites para fins de marketing semelhantes.
Estatísticas

Marketing

Recursos
Sempre ativo

Sempre ativo
Gerir opções Gerir serviços Gerir {vendor_count} fornecedores Leia mais sobre esses propósitos
Gerir opções
{title} {title} {title}