Jump to content
Site Communauté

Le malware FinFisher infecte le gestionnaire de démarrage Windows avec un bootkit UEFI


Firebird

Recommended Posts

Posted (edited)

Bootkit UEFI

Citation

La nouvelle version du spyware FinFisher améliore son dispositif avec 4 niveaux d’obfuscation, des modules d’infections de l’UEFI et d’autres techniques le rendant presque impossible à détecter.
Les chercheurs de Kaspersky révèlent aujourd’hui dans le cadre de leur événement annuel Security Analyst Summit, un rapport sur les dernières mises à jour du logiciel espion FinSpy ciblant les systèmes d’exploitation Windows, Mac OS, Linux et ses installateurs. L’enquête, qui a duré huit mois, met en avant des modifications du spyware qui intègre 4 niveaux d’obfuscation, des techniques anti-analyse avancées et utilise un kit de démarrage UEFI pour infecter ses victimes. Les résultats démontrent une forte importance accordée aux techniques d’évasion, faisant de FinFisher l’un des logiciels espions les plus difficiles à détecter à ce jour.

=> Source : https://www.kaspersky.fr/about/press-releases/2021_thesas-2021-la-nouvelle-version-du-spyware-finfisher-ameliore-son-dispositif-avec-4-niveaux-dobfuscation-des-modules-dinfections-de-luefi-et-dautres-techniques-le-rendant-presque-impossible-a-detecter
 

Citation

Tout au long de nos recherches, nous avons identifié de nombreuses applications légitimes backdoorées avec FinSpy. Les exemples incluent les installateurs de logiciels (par exemple, TeamViewer, VLC Media Player, WinRAR) ainsi que les applications portables.

=> Source : Extrait de traduction de https://securelist.com/finspy-unseen-findings/104322/
 

Citation

"Au cours de nos recherches, nous avons trouvé un bootkit UEFI qui chargeait FinSpy. Toutes les machines infectées par le bootkit UEFI avaient le gestionnaire de démarrage Windows (bootmgfw.efi) remplacé par un malveillant", ont révélé les chercheurs de Kasperksy aujourd'hui.

"Cette méthode d'infection a permis aux attaquants d'installer un bootkit sans avoir besoin de contourner les contrôles de sécurité du micrologiciel. Les infections UEFI sont très rares et généralement difficiles à exécuter, et elles se distinguent par leur évasivité et leur persistance."

Le micrologiciel UEFI (Unified Extensible Firmware Interface) permet un malware de bootkit hautement persistant car il est installé dans le stockage flash SPI soudé à la carte mère des ordinateurs, ce qui rend impossible de s'en débarrasser via le remplacement du disque dur ou même la réinstallation du système d'exploitation.

Source : Extrait de Traduction
Article original : https://www.bleepingcomputer.com/news/security/finfisher-malware-hijacks-windows-boot-manager-with-uefi-bootkit/

Edited by Firebird
  • J'aime 1
Posted

Merci de  l'info Firebird ,il y a une parade contre ce bootkit UEFI .

Posted
Il y a 6 heures, meric57 a dit :

Merci de  l'info Firebird ,il y a une parade contre ce bootkit UEFI .

Hello,

 

une parade ...:strausskahn3: ... oui et même pour toute les autres futurs attaque mais je ne la dirai pas ici au risque d'en choquer plus d'un..

 

  • J'aime 1
Posted

Bonjour Delta.

Quand je dit parade juste un e solution pour le supprimer ,j'ai malwarebytes premium donc de ce coté la pas de souci.  

Posted
il y a 4 minutes, Yves B. a dit :

Salut @Delta,

Comme tu le dis souvent “À chacun sont domaine d'expertises !” :smile:

A+ :wink:

:c_lol2:

clair elle serait radical mais bon ...

Posted
Il y a 2 heures, Delta a dit :

Hello,

 

une parade ...:strausskahn3: ... oui et même pour toute les autres futurs attaque mais je ne la dirai pas ici au risque d'en choquer plus d'un..

 

Non non vas y on te lira avec attention TKT

Posted
Il y a 8 heures, meric57 a dit :

Merci de  l'info Firebird ,il y a une parade contre ce bootkit UEFI .

Bonjour @meric57

La prévention consiste à rester prudent dans la navigation et les téléchargements. Il faut aussi faire des sauvegardes régulières.

C'est une infection compliquée. En cas de suspicion d'infection, le forum peut t'aider.

  • J'aime 1
Posted (edited)
il y a 14 minutes, calisto06 a dit :

Non non vas y on te lira avec attention TKT

no no ... :c_lol2: mes réactions spécial mais qui donne de bon résultats déranges des fois donc ... je passe mon tour :strausskahn2:

Edited by Delta
Posted

Bon donc moi je vais le dire : une clean install si le malware est sur le disque suffit à l'écraser et pour les virus bios un flashage devrait faire l'affaire

Posted
il y a 40 minutes, calisto06 a dit :

virus bios un flashage devrait faire l'affaire

en toute logique oui!

sauf si il y a un verrouillage qui se fait ...

je ne saurai pas dire quelle virus provoquait ce phénomène mais il interdisait toute action.

il y a 41 minutes, calisto06 a dit :

une clean install si le malware est sur le disque suffit à l'écraser

correct

Posted
il y a une heure, calisto06 a dit :

une clean install si le malware est sur le disque suffit à l'écraser

Ou pas si ce dernier a été se loger dans le MBR / GPT et que ces tables n'ont pas été écrasées ;-)

Posted
il y a 48 minutes, Toto61 a dit :

Ou pas si ce dernier a été se loger dans le MBR / GPT et que ces tables n'ont pas été écrasées ;-)

une fois que l'ont shoot toute les partition et les re creer, je pense pas qu'il reste grand chose, si ? :c_embarrassed:

  • J'aime 2
Posted
Il y a 2 heures, calisto06 a dit :

et pour les virus bios un flashage devrait faire l'affaire

Effectivement, il faut exécutez le logiciel flash depuis une clé USB pour restaurer le BIOS à son état d’usine.

 

Posted
il y a 24 minutes, Delta a dit :

une fois que l'ont shoot toute les partition et les re creer, je pense pas qu'il reste grand chose, si ? :c_embarrassed:

Tout juste, sauf pour les "virus BIOS", assez rares jusqu'à présent.

  • J'aime 1
Posted
il y a une heure, Toto61 a dit :

Ou pas si ce dernier a été se loger dans le MBR / GPT et que ces tables n'ont pas été écrasées ;-)

Clean install qui supprime toutes les partitions ...

 

  • J'aime 1
  • Plusser (+1) 1
Guest
This topic is now closed to further replies.
  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...