Le malware FinFisher infecte le gestionnaire de démarrage Windows avec un bootkit UEFI

[Firebird]

Bootkit UEFI

Citation

La nouvelle version du spyware FinFisher améliore son dispositif avec 4 niveaux d’obfuscation, des modules d’infections de l’UEFI et d’autres techniques le rendant presque impossible à détecter.
Les chercheurs de Kaspersky révèlent aujourd’hui dans le cadre de leur événement annuel Security Analyst Summit, un rapport sur les dernières mises à jour du logiciel espion FinSpy ciblant les systèmes d’exploitation Windows, Mac OS, Linux et ses installateurs. L’enquête, qui a duré huit mois, met en avant des modifications du spyware qui intègre 4 niveaux d’obfuscation, des techniques anti-analyse avancées et utilise un kit de démarrage UEFI pour infecter ses victimes. Les résultats démontrent une forte importance accordée aux techniques d’évasion, faisant de FinFisher l’un des logiciels espions les plus difficiles à détecter à ce jour.

=> Source : https://www.kaspersky.fr/about/press-releases/2021_thesas-2021-la-nouvelle-version-du-spyware-finfisher-ameliore-son-dispositif-avec-4-niveaux-dobfuscation-des-modules-dinfections-de-luefi-et-dautres-techniques-le-rendant-presque-impossible-a-detecter
 

Citation

Tout au long de nos recherches, nous avons identifié de nombreuses applications légitimes backdoorées avec FinSpy. Les exemples incluent les installateurs de logiciels (par exemple, TeamViewer, VLC Media Player, WinRAR) ainsi que les applications portables.

=> Source : Extrait de traduction de https://securelist.com/finspy-unseen-findings/104322/
 

Citation

"Au cours de nos recherches, nous avons trouvé un bootkit UEFI qui chargeait FinSpy. Toutes les machines infectées par le bootkit UEFI avaient le gestionnaire de démarrage Windows (bootmgfw.efi) remplacé par un malveillant", ont révélé les chercheurs de Kasperksy aujourd'hui.

"Cette méthode d'infection a permis aux attaquants d'installer un bootkit sans avoir besoin de contourner les contrôles de sécurité du micrologiciel. Les infections UEFI sont très rares et généralement difficiles à exécuter, et elles se distinguent par leur évasivité et leur persistance."

Le micrologiciel UEFI (Unified Extensible Firmware Interface) permet un malware de bootkit hautement persistant car il est installé dans le stockage flash SPI soudé à la carte mère des ordinateurs, ce qui rend impossible de s'en débarrasser via le remplacement du disque dur ou même la réinstallation du système d'exploitation.

Source : Extrait de Traduction
Article original : https://www.bleepingcomputer.com/news/security/finfisher-malware-hijacks-windows-boot-manager-with-uefi-bootkit/

Modifié le 29 septembre 2021 par Firebird

[Invité meric57]

Merci de  l'info Firebird ,il y a une parade contre ce bootkit UEFI .

[Delta]

Il y a 6 heures, meric57 a dit :

Merci de  l'info Firebird ,il y a une parade contre ce bootkit UEFI .

Hello,

 

une parade ... ... oui et même pour toute les autres futurs attaque mais je ne la dirai pas ici au risque d'en choquer plus d'un..

 

[Invité meric57]

Bonjour Delta.

Quand je dit parade juste un e solution pour le supprimer ,j'ai malwarebytes premium donc de ce coté la pas de souci.  

[Yves B.]

Salut @Delta,

Comme tu le dis souvent “À chacun sont domaine d'expertises !” 

A+ 

Modifié le 30 septembre 2021 par Yves B.

[Delta]

il y a 4 minutes, Yves B. a dit :

Salut @Delta,

Comme tu le dis souvent “À chacun sont domaine d'expertises !” 

A+ 

clair elle serait radical mais bon ...

[calisto06]

Dans le genre bien sympa aussi

Ce nouveau malware, découvert dans l’UEFI, est le pire scénario pour l’ordinateur (futura-sciences.com)

 

[calisto06]

Il y a 2 heures, Delta a dit :

Hello,

 

une parade ... ... oui et même pour toute les autres futurs attaque mais je ne la dirai pas ici au risque d'en choquer plus d'un..

 

Non non vas y on te lira avec attention TKT

[Firebird]

Il y a 8 heures, meric57 a dit :

Merci de  l'info Firebird ,il y a une parade contre ce bootkit UEFI .

Bonjour @meric57

La prévention consiste à rester prudent dans la navigation et les téléchargements. Il faut aussi faire des sauvegardes régulières.

C'est une infection compliquée. En cas de suspicion d'infection, le forum peut t'aider.

[Delta]

il y a 14 minutes, calisto06 a dit :

Non non vas y on te lira avec attention TKT

no no ... mes réactions spécial mais qui donne de bon résultats déranges des fois donc ... je passe mon tour

Modifié le 30 septembre 2021 par Delta

[calisto06]

Bon donc moi je vais le dire : une clean install si le malware est sur le disque suffit à l'écraser et pour les virus bios un flashage devrait faire l'affaire

[Delta]

il y a 40 minutes, calisto06 a dit :

virus bios un flashage devrait faire l'affaire

en toute logique oui!

sauf si il y a un verrouillage qui se fait ...

je ne saurai pas dire quelle virus provoquait ce phénomène mais il interdisait toute action.

il y a 41 minutes, calisto06 a dit :

une clean install si le malware est sur le disque suffit à l'écraser

correct

[Toto61]

il y a une heure, calisto06 a dit :

une clean install si le malware est sur le disque suffit à l'écraser

Ou pas si ce dernier a été se loger dans le MBR / GPT et que ces tables n'ont pas été écrasées ;-)

[Delta]

il y a 48 minutes, Toto61 a dit :

Ou pas si ce dernier a été se loger dans le MBR / GPT et que ces tables n'ont pas été écrasées ;-)

une fois que l'ont shoot toute les partition et les re creer, je pense pas qu'il reste grand chose, si ?

[Firebird]

Il y a 2 heures, calisto06 a dit :

et pour les virus bios un flashage devrait faire l'affaire

Effectivement, il faut exécutez le logiciel flash depuis une clé USB pour restaurer le BIOS à son état d’usine.

 

[Firebird]

il y a 24 minutes, Delta a dit :

une fois que l'ont shoot toute les partition et les re creer, je pense pas qu'il reste grand chose, si ?

Tout juste, sauf pour les "virus BIOS", assez rares jusqu'à présent.

[calisto06]

il y a une heure, Toto61 a dit :

Ou pas si ce dernier a été se loger dans le MBR / GPT et que ces tables n'ont pas été écrasées ;-)

Clean install qui supprime toutes les partitions ...