Um novo módulo “TrickBoot” procura por firmware vulnerável e tem a capacidade de ler, escrever e apagá-lo em dispositivos.
Qualcomm Snapdragon 8cx vs. Intel Core i5
O malware TrickBoot se transformou mais uma vez, desta vez implementando uma funcionalidade projetada para inspecionar o firmware UEFI/BIOS dos sistemas visados. Isso marca um sério ressurgimento após a remoção da infraestrutura do malware pela Microsoft e outros em outubro.
A interface de firmware extensível unificada do Windows (UEFI) é uma especificação que rege a operação do firmware de plataforma de baixo nível. Ou seja, o que inclui o carregamento do próprio sistema operacional. Também pode ser usado quando o sistema operacional já está instalado e funcionando, por exemplo, para atualizar o firmware. Enquanto isso, o BIOS é o firmware usado para executar a inicialização do hardware durante o processo de inicialização. Além disso, é usado para fornecer serviços de tempo de execução para sistemas operacionais e programas.
De acordo com uma pesquisa colaborativa da Advanced Intelligence (AdvIntel) e Eclypsium, a funcionalidade TrickBoot adicional, que eles chamam de “TrickBoot”, verifica os dispositivos em busca de vulnerabilidades conhecidas que podem permitir que invasores leiam, gravem ou apaguem o firmware UEFI/BIOS de um dispositivo.
Vantagens
Isso oferece uma série de vantagens: Incorporar código malicioso no mecanismo de inicialização garante que ele seja executado primeiro, antes de qualquer outra função. Essa funcionalidade de “bootkit” permite que um invasor controle como o sistema operacional é inicializado. Além disso, pode, até mesmo, modificar diretamente o sistema operacional para obter controle completo sobre um sistema. No mais, subverter os controles de segurança de camada superior.
“Esta atividade prepara o terreno para os operadores de TrickBoot realizarem medidas mais ativas. Ou seja, como a instalação de implantes de firmware e backdoors ou a destruição (bricking) de um dispositivo direcionado”, explicaram os pesquisadores, em uma postagem na quinta-feira, acrescentando que tal bricking é difícil remediar. “É bem possível que os agentes de ameaças já estejam explorando essas vulnerabilidades contra alvos de alto valor.”
Os implantes de nível de UEFI também têm uma vantagem adicional por serem extremamente furtivos.
“Uma vez que o firmware é armazenado na placa-mãe, ao contrário das unidades do sistema, essas ameaças podem fornecer aos invasores persistência contínua. Ou seja, mesmo que a imagem do sistema seja refeita ou um disco rígido seja substituído”, observaram os pesquisadores. “Ameaças semelhantes com foco em UEFI já passaram anos antes de serem detectadas. Na verdade, esse é precisamente o seu valor para os invasores.”
Bootkits: uma funcionalidade rara
A capacidade de escrever código malicioso no firmware do sistema, garantindo que o código do invasor seja executado antes do sistema operacional, ao mesmo tempo em que oculta o código fora das unidades do sistema, só foi vista acontecendo ativamente de forma limitada antes, observaram os pesquisadores.
“Esses recursos foram abusados ??no passado como uma forma de os invasores manterem a persistência no firmware, principalmente pelo malware LoJax e pela campanha Slingshot APT”, disseram eles. “No entanto, o TrickBot marca uma expansão significativa dessas técnicas na natureza.”
Em outubro, um raro bootkit de firmware foi visto sendo usado para atingir diplomatas e membros de organizações não-governamentais (ONGs) da África, Ásia e Europa. Acabou por ser parte de uma estrutura recém-descoberta chamada MosaicRegressor.
“Demorou mais de cinco anos para que a indústria descobrisse o uso do código de implante VectorEDK UEFI da Hacking Team, que era usado como parte da campanha MosaicRegressor, apesar do código-fonte estar disponível no Github e até mesmo documentado em seu uso”, Os pesquisadores do Eclypsium e AdvIntel concluíram. “Dado o quão ativos, com recursos e capazes são os autores do TrickBoot, queríamos pesquisar, analisar e expor todas as ferramentas que eles já possuem para permitir que as organizações preparem defesas eficazes mais rapidamente.”
A evolução do TrickBoot continua
TrickBoot é um trojan bem conhecido e sofisticado desenvolvido pela primeira vez em 2016 como um malware bancário – ele tem um histórico de se transformar e adicionar novos recursos para evitar a detecção ou aprimorar seus recursos de infecção. Em 2017, por exemplo, ele adicionou funcionalidades para explorar as vulnerabilidades EternalBlue e EternalRomance. Portanto, indo muito além de suas raízes bancárias, ele se desenvolveu ao longo dos anos em uma solução de crimeware completa baseada em módulo, normalmente voltada para atacar corporações e infraestrutura pública.
Os usuários infectados com o trojan TrickBoot verão seu dispositivo se tornar parte de um botnet que os invasores usam para carregar malware de segundo estágio – os pesquisadores o chamaram de “dropper ideal para quase qualquer carga adicional de malware”.
As consequências típicas das infecções por TrickBot são a tomada de controle de contas bancárias, fraude eletrônica de alto valor e ataques de ransomware. Muitas vezes é visto trabalhando em conjunto com o Emotet, outro cavalo de Troia preocupante e difundido que é conhecido por seu design modular e capacidade de entregar uma variedade de cargas úteis, incluindo o ransomware Ryuk.
A evolução para adicionar varredura automatizada para bugs de firmware deve fazer os defensores tomarem conhecimento, de acordo com os pesquisadores.
“A adição da funcionalidade UEFI marca um avanço importante nesta evolução contínua, estendendo seu foco além do sistema operacional do dispositivo para camadas inferiores que muitas vezes não são inspecionadas por produtos de segurança e pesquisadores”, explicaram. “Dado que o conjunto de ferramentas do grupo TrickBot foi usado por alguns dos criminosos mais perigosos, atores russos e norte-coreanos, para visar saúde, finanças, telecomunicações, educação e infraestrutura crítica, consideramos este desenvolvimento extremamente importante para o risco empresarial e a segurança nacional”.
Recuperando-se da queda
Em outubro, o TrickBoot sofreu um sério golpe graças a uma ação coordenada liderada pela Microsoft que interrompeu o botnet que o espalha. Um Tribunal Distrital concedeu um pedido de ordem judicial para interromper as operações do TrickBoot, que a Microsoft executou em conjunto com outras empresas, incluindo ESET, Black Lotus Labs da Lumen, NTT Ltd., Symantec e outros.
“Interrompemos o TrickBoot por meio de uma ordem judicial que obtivemos, bem como de uma ação técnica que executamos em parceria com provedores de telecomunicações ao redor do mundo”, escreveu Tom Burt, vice-presidente corporativo de Segurança e Confiança do Cliente da Microsoft na época. “Agora cortamos a infraestrutura principal para que aqueles que operam o TrickBoot não sejam mais capazes de iniciar novas infecções ou ativar ransomware já instalado em sistemas de computador.”
No entanto, os pesquisadores avisaram na época que os operadores do TrickBoot tentariam rapidamente reviver suas operações – uma previsão que rapidamente se tornou realidade.
De acordo com AdvIntel e Eclypsium, infecções ativas por TrickBoot aumentaram nos dois meses desde a queda, chegando a até 40.000 novas vítimas em um único dia.
“Obter uma pegada não é um desafio para os operadores de TrickBoot”, explicaram. “Determinar quais vítimas são alvos de alto valor e persistir nesses ambientes para atingi-las novamente mais tarde define uma grande parte do conjunto de ferramentas TrickBoot e enquadra a importância dessa descoberta.”
TrickBoot retorna com uma vingança, funções Sporting Rare Bootkit. O que você achou disso? Deixe seu comentário. Além disso, não se esqueça de entrar no nosso grupo do Telegram. É só clicar no botão “Canal do Telegram” no topo direito da página.
Comentários