Jump to content
Site Communauté

Le malware FinFisher infecte le gestionnaire de démarrage Windows avec un bootkit UEFI


Firebird

Recommended Posts

Bootkit UEFI

Citation

La nouvelle version du spyware FinFisher améliore son dispositif avec 4 niveaux d’obfuscation, des modules d’infections de l’UEFI et d’autres techniques le rendant presque impossible à détecter.
Les chercheurs de Kaspersky révèlent aujourd’hui dans le cadre de leur événement annuel Security Analyst Summit, un rapport sur les dernières mises à jour du logiciel espion FinSpy ciblant les systèmes d’exploitation Windows, Mac OS, Linux et ses installateurs. L’enquête, qui a duré huit mois, met en avant des modifications du spyware qui intègre 4 niveaux d’obfuscation, des techniques anti-analyse avancées et utilise un kit de démarrage UEFI pour infecter ses victimes. Les résultats démontrent une forte importance accordée aux techniques d’évasion, faisant de FinFisher l’un des logiciels espions les plus difficiles à détecter à ce jour.

=> Source : https://www.kaspersky.fr/about/press-releases/2021_thesas-2021-la-nouvelle-version-du-spyware-finfisher-ameliore-son-dispositif-avec-4-niveaux-dobfuscation-des-modules-dinfections-de-luefi-et-dautres-techniques-le-rendant-presque-impossible-a-detecter
 

Citation

Tout au long de nos recherches, nous avons identifié de nombreuses applications légitimes backdoorées avec FinSpy. Les exemples incluent les installateurs de logiciels (par exemple, TeamViewer, VLC Media Player, WinRAR) ainsi que les applications portables.

=> Source : Extrait de traduction de https://securelist.com/finspy-unseen-findings/104322/
 

Citation

"Au cours de nos recherches, nous avons trouvé un bootkit UEFI qui chargeait FinSpy. Toutes les machines infectées par le bootkit UEFI avaient le gestionnaire de démarrage Windows (bootmgfw.efi) remplacé par un malveillant", ont révélé les chercheurs de Kasperksy aujourd'hui.

"Cette méthode d'infection a permis aux attaquants d'installer un bootkit sans avoir besoin de contourner les contrôles de sécurité du micrologiciel. Les infections UEFI sont très rares et généralement difficiles à exécuter, et elles se distinguent par leur évasivité et leur persistance."

Le micrologiciel UEFI (Unified Extensible Firmware Interface) permet un malware de bootkit hautement persistant car il est installé dans le stockage flash SPI soudé à la carte mère des ordinateurs, ce qui rend impossible de s'en débarrasser via le remplacement du disque dur ou même la réinstallation du système d'exploitation.

Source : Extrait de Traduction
Article original : https://www.bleepingcomputer.com/news/security/finfisher-malware-hijacks-windows-boot-manager-with-uefi-bootkit/

Edited by Firebird
  • J'aime 1
Link to comment
Il y a 6 heures, meric57 a dit :

Merci de  l'info Firebird ,il y a une parade contre ce bootkit UEFI .

Hello,

 

une parade ...:strausskahn3: ... oui et même pour toute les autres futurs attaque mais je ne la dirai pas ici au risque d'en choquer plus d'un..

 

  • J'aime 1
Link to comment
Il y a 8 heures, meric57 a dit :

Merci de  l'info Firebird ,il y a une parade contre ce bootkit UEFI .

Bonjour @meric57

La prévention consiste à rester prudent dans la navigation et les téléchargements. Il faut aussi faire des sauvegardes régulières.

C'est une infection compliquée. En cas de suspicion d'infection, le forum peut t'aider.

  • J'aime 1
Link to comment
il y a 14 minutes, calisto06 a dit :

Non non vas y on te lira avec attention TKT

no no ... :c_lol2: mes réactions spécial mais qui donne de bon résultats déranges des fois donc ... je passe mon tour :strausskahn2:

Edited by Delta
Link to comment
il y a 40 minutes, calisto06 a dit :

virus bios un flashage devrait faire l'affaire

en toute logique oui!

sauf si il y a un verrouillage qui se fait ...

je ne saurai pas dire quelle virus provoquait ce phénomène mais il interdisait toute action.

il y a 41 minutes, calisto06 a dit :

une clean install si le malware est sur le disque suffit à l'écraser

correct

Link to comment
il y a 48 minutes, Toto61 a dit :

Ou pas si ce dernier a été se loger dans le MBR / GPT et que ces tables n'ont pas été écrasées ;-)

une fois que l'ont shoot toute les partition et les re creer, je pense pas qu'il reste grand chose, si ? :c_embarrassed:

  • J'aime 2
Link to comment
Guest
This topic is now closed to further replies.
  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...