Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 29 Settembre 2021 12:40
Abbiamo parlato molto di Pegasus nei mesi scorsi, ma come abbiamo detto in precedenza, non esiste solo la NSO Group tra quelle aziende che vengono definite come PSOA (private sector offensive actors).
I ricercatori di sicurezza di Kaspersky Lab hanno scoperto una nuova versione dello spyware FinSpy che intercetta il controllo e sostituisce il bootloader UEFI di Windows per infettare i sistemi informatici. Questo metodo ha consentito agli aggressori di installare un bootkit senza dover bypassare i controlli di sicurezza del firmware.
Secondo gli esperti, l’infezione sullo UEFI (Unified Extensible Firmware Interface) è rara e difficile da implementare. Sebbene in questo caso gli aggressori non abbiano infettato il firmware UEFI stesso, ma la sua fase di avvio successiva, l’attacco è stato particolarmente nascosto, poiché il modulo dannoso è stato installato su una partizione separata e potrebbe controllare il processo di avvio del dispositivo infetto.
Come notato dai ricercatori, è uno dei programmi spyware più difficili da rilevare oggi. Lo spyware viene fornito con quattro diversi livelli di offuscamento oltre al vettore del bootkit UEFI.
A differenza delle versioni precedenti di FinSpy, che contenevano il Trojan nell’applicazione infetta, i nuovi campioni sono ora protetti da due componenti: un pre-validatore volatile e un post-validatore.
“Il primo componente esegue diversi controlli di sicurezza per garantire che il dispositivo attaccato non appartenga a un ricercatore di sicurezza informatica. Solo dopo aver superato il controllo, il server fornisce un componente post-validazione. A questo punto il server sarà in grado di distribuire software Trojan per infettare la vittima”
hanno spiegato gli esperti.
Lo spyware contiene quattro sofisticati offuscatori personalizzati progettati per rallentare l’analisi dello spyware. Inoltre, il Trojan può utilizzare la modalità sviluppatore nei browser per intercettare il traffico protetto dal protocollo HTTPS.
Su tutti i computer infetti dal bootkit UEFI, il Boot Manager di Windows (bootmgfw.efi) è stato sostituito con uno dannoso. Quando lo UEFI passa l’esecuzione a un bootloader dannoso, prima individua e sostituisce il Boot Manager di Windows originale con una versione con patch in grado di ignorare tutti i controlli di sicurezza.
L’infezione tramite MBR (Master Boot Record) è stata registrata su dispositivi meno recenti senza supporto UEFI.
Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
RedazioneIl MITRE ha reso pubblica la classifica delle 25 più pericolose debolezze software previste per il 2025, secondo i dati raccolti attraverso le vulnerabilità del national Vulnerability Database. Tali...
Un recente resoconto del gruppo Google Threat Intelligence (GTIG) illustra gli esiti disordinati della diffusione di informazioni, mettendo in luce come gli avversari più esperti abbiano già preso p...
All’interno del noto Dark Forum, l’utente identificato come “espansive” ha messo in vendita quello che descrive come l’accesso al pannello di amministrazione dell’Agenzia delle Entrate. Tu...
In seguito alla scoperta di due vulnerabilità zero-day estremamente critiche nel motore del browser WebKit, Apple ha pubblicato urgentemente degli aggiornamenti di sicurezza per gli utenti di iPhone ...
La recente edizione 2025.4 di Kali Linux è stata messa a disposizione del pubblico, introducendo significative migliorie per quanto riguarda gli ambienti desktop GNOME, KDE e Xfce. D’ora in poi, Wa...
