{"id":23044,"date":"2020-10-09T11:47:28","date_gmt":"2020-10-09T09:47:28","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=23044"},"modified":"2020-10-09T11:47:28","modified_gmt":"2020-10-09T09:47:28","slug":"mosaicregressor-uefi-malware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/mosaicregressor-uefi-malware\/23044\/","title":{"rendered":"MosaicRegressor: diffusione del malware attraverso il bootkit UEFI"},"content":{"rendered":"

Recentemente, i nostri ricercatori hanno scoperto un sofisticato attacco mirato<\/a> contro istituzioni diplomatiche e ONG in Asia, Europa e Africa. In base a quanto abbiamo potuto determinare, tutte le vittime erano collegate alla Corea del Nord in un modo o nell\u2019altro, sia attraverso attivit\u00e0 no-profit sia attraverso legami diplomatici.<\/p>\n

I cybercriminali hanno utilizzato un sofisticato framework modulare di cyberspionaggio che i nostri ricercatori hanno battezzato MosaicRegressor. La nostra indagine ha rivelato che, in alcuni casi, il malware \u00e8 entrato nei computer delle vittime attraverso UEFI modificati, un evento estremamente raro nell\u2019ambiente in the wild. Tuttavia, nella maggior parte dei casi, i criminali informatici si sono serviti del pi\u00f9 tradizionale spear phishing.<\/p>\n

UEFI: cos\u2019\u00e8 e perch\u00e9 il bootkit \u00e8 cos\u00ec pericoloso?<\/h2>\n

UEFI, come il BIOS che sostituisce, \u00e8 un software che si attiva all\u2019avvio del computer e ancor prima dell\u2019avvio del sistema operativo. Inoltre, non \u00e8 memorizzato sul disco rigido, ma su un chip della scheda madre. Se i criminali informatici modificano il codice UEFI, potrebbero utilizzarlo per inviare malware al sistema della vittima.<\/p>\n

Questo \u00e8 esattamente ci\u00f2 che abbiamo trovato nella campagna descritta. Inoltre, nel creare il firmware UEFI modificato, i criminali informatici hanno utilizzato il codice sorgente di VectorEDK, un bootkit di Hacking Team pubblicato online. Sebbene il codice sorgente sia disponibile gi\u00e0 dal 2015, questa \u00e8 la prima prova che abbiamo visto del suo utilizzo da parte dei cybercriminali.<\/p>\n

Quando il sistema si apre, il bootkit posiziona il file dannoso IntelUpdate.exe nella cartella di avvio del sistema. Il file eseguibile scarica e installa un altro componente di MosaicRegressor sul computer. Data la relativa singolarit\u00e0 di UEFI, anche se questo file dannoso viene rilevato, \u00e8 quasi impossibile da rimuovere. N\u00e9 la sua eliminazione n\u00e9 la reinstallazione del sistema operativo sono di aiuto. L\u2019unico modo per risolvere il problema \u00e8 aggiornare la scheda madre.<\/p>\n\n

Quanto \u00e8 pericoloso MosaicRegressor?<\/h2>\n

I componenti di MosaicRegressor che si sono insinuati nei computer delle vittime (attraverso un UEFI compromesso o mediante phishing mirato) si sono collegati ai server C&C, hanno scaricato moduli aggiuntivi e li hanno fatti funzionare. Successivamente, questi moduli sono stati utilizzati per rubare informazioni. Ad esempio, uno di essi ha inviato ai criminali informatici documenti aperti di recente.<\/p>\n

Per comunicare con i server C&C sono stati utilizzati vari meccanismi: la libreria cURL (per HTTP\/HTTPS), l\u2019interfaccia Background Intelligent Transfer Service (BITS), l\u2019interfaccia di programmazione WinHTTP e i servizi di posta pubblica che utilizzano i protocolli POP3S, SMTPS o IMAPS.<\/p>\n

Il nostro post su Securelist<\/a> fornisce un\u2019analisi tecnica pi\u00f9 dettagliata del framework dannoso MosaicRegressor, oltre agli indicatori di compromissione.<\/p>\n

Come proteggersi da MosaicRegressor<\/h2>\n

Per difendersi da MosaicRegressor, la prima minaccia da neutralizzare \u00e8 lo spear phishing, attraverso il quale iniziano gli attacchi pi\u00f9 sofisticati. Per la massima protezione dei computer dei dipendenti, consigliamo l\u2019uso di una combinazione di prodotti di sicurezza con tecnologie anti-phishing avanzate e un piano di formazione per sensibilizzare i dipendenti<\/a> su questo tipo di attacchi.<\/p>\n

Le nostre soluzioni di sicurezza<\/a> individuano i moduli dannosi che hanno come obiettivo il furto di dati.<\/p>\n

Per quanto riguarda il firmware compromesso, purtroppo non sappiamo esattamente come il bootkit sia finito sui computer delle vittime. Sulla base dei dati che riguardano HackingTeam e la pubblicazione di dati, i cybercriminali hanno presumibilmente avuto bisogno di un accesso fisico e hanno usato una chiavetta USB per infettare i dispositivi. Tuttavia, non si possono tuttavia escludere altri metodi.<\/p>\n

Per proteggervi da MosaicRegressor:<\/p>\n