Les experts de Kaspersky Lab ont annoncé la découverte d'un nouveau malware assez étonnant par sa capacité à se camoufler et donc, sa dangerosité.

Il s'agit d'un rootkit UEFI qui s'installe dans la puce SPI Flash des cartes mères PC. Une fois en place, il permet ainsi à un malware installé sur le PC de se réinstaller de lui-même s'il venait à être supprimé, et cela, même en cas de formatage ou de changement de disque dur.

Moonbounce

Baptisé MoonBounce, il s'installe dans le module CORE_DXE du firmware et se révèle ainsi particulièrement délicat à détecter. Il crée un driver malveillant dans le noyau de Windows qui permet ensuite d'injecter d'autres malwares dans svhost.exe. Les divers malwares se connectent à des serveurs de commande et téléchargent d'autres malwares sur la machine ciblée, l'objectif final étant de collecter des données personnelles et sensibles pour les renvoyer aux pirates.

Selon Kaspersky, MoonBounce serait exploité par APT41 connu aussi sous le nom de Winnti, un groupe de pirates chinois.

Kaspersky recommande ainsi de procéder aux mises à jour régulières du firmware UEFI et de vérifier l'activation de Bootguard sur sa machine si disponible.

Source : Kaspersky