Le malware MoonBounce persiste après un formatage du disque !
Le malware MoonBounce est particulièrement furtif et difficile à supprimer puisqu'il se cache dans la puce du BIOS ! Cette méthode lui permet de persister sur la machine même après une réinstallation du système d'exploitation, le formatage du disque dur, voire même un remplacement de disque dur !
Pour persister sur la machine, le malware est mis en place directement au sein de la puce du BIOS, au niveau de la mémoire flash SPI (Serial Peripheral Interface) de la carte mère. Même si la méthode pourrait sembler nouvelle, ce n'est visiblement pas le cas. L'éditeur Kaspersky précise que ce n'est pas le premier logiciel malveillant à persister sur une machine via la mémoire flash SPI. Avant MoonBounce, d'autres malwares comme LoJax et MosaicRegressor ont suivi le même chemin.
Malgré tout, Kaspersky avoue que MoonBounce va plus loin et montre une avancée significative, notamment parce que son flux d'attaque est plus complexe, et qu'il serait capable d'infecter une machine à distance. Sur la machine, il parvient à détourner certaines fonctions afin que la souche malveillante soit chargée au démarrage du système d'exploitation. Lorsque Windows est démarré, le malware se retrouve injecté dans un processus svchost.exe, ce qui le rend d'autant plus invisible et difficile à détecter.
Que fait le malware une fois qu'il est en place sur une machine ? Bien sûr, les chercheurs de Kaspersky se sont posé la question et pour l'instant, c'est assez flou. En fait, MoonBounce cherche à se connecter à une URL distante pour récupérer une charge utile afin de l'exécuter en mémoire. Néanmoins, cet appel n'aurait pas abouti et comme il semble travailler uniquement en mémoire, sans s'appuyer sur des fichiers, l'analyse est plus difficile. Suite à cet échec, on pourrait même croire que le malware était en phase de test lorsqu'il a été détecté.
Toujours d'après Kaspersky, ce serait le groupe APT41 qui serait à l'origine du malware MoonBounce. D'après les nombreux signalements, le groupe APT41 s'exprimerait en chinois, ce qui est indicateur quant à sa provenance.
Afin de vous protéger, Kaspersky recommande de veiller à ce que le firmware UEFI de votre machine soit bien à jour, d'activer la puce TPM, et d'autres fonctions de sécurité comme Boot Guard chez Intel.