Quando um vírus realmente danoso se instala em um computador, nem sempre um antivírus é suficiente; muitas vezes, a única solução é formatar a máquina. No entanto, uma ameaça desenvolveu uma forma de driblar até mesmo esse último recurso: o malware Trickbot agora consegue se infiltrar na BIOS ou UEFI do computador infectado.
Para quem não está familiarizado, a BIOS, ou UEFI na maioria dos computadores mais novos, é o firmware de um PC, o software que está na raiz da máquina, ligado ao hardware em um nível mais fundamental do que o sistema operacional. Uma alteração indevida no seu funcionamento pode danificar o computador de formas profundas. Na prática, ao conseguir mexer com a BIOS de um computador, o malware se perpetua de forma que uma formatação não é mais capaz de resolver.
O TrickBot, como reporta o site ZDNet, é um malware de botnet, termo usado para definir uma rede de computadores infectados “zumbis”, que podem ser remotamente controlados por um grupo de operadores para todos os tipos de ciberataques. Uma utilização comum de botnets são os ataques de DDoS, em que milhões de máquinas afetadas fazem requisições falsas simultaneamente a um site ou serviço online para sobrecarregá-lo e causar instabilidade.
Os pesquisadores da Advanced Intelligence e da Eclypsium, que revelaram os novos “truques” do TrickBot listam uma série de capacidades novas: inutilizar o computador no nível de firmware, driblar ferramentas de segurança como BitLocker e outras ferramentas do Windows, reverter atualizações que corrigiram vulnerabilidades graves no processador, como é o caso do Spectre.
Eles notam que, até o momento, no entanto, o TrickBot não foi flagrado tentando fazer alterações na BIOS, apenas fazendo a checagem do controlador SPI para ver se a proteção contra gravação está ativa. No entanto, o código para ler, alterar e apagar o firmware está lá para ser utilizada quando possível e conveniente.
Uma dessas situações, por exemplo, seria a de se disfarçar dentro da rede de companhias maiores, permitindo manter-se nos computadores infectados mesmo diante de uma ação de formatação. Outra aplicação seria para ransomwares, ameaças que bloqueiam arquivos das máquinas das vítimas e só liberam mediante pagamento; neste cenário, o malware se manteria instalado no computador e poderia se manifestar em uma forma mais danosa, causando dano ao computador, e não apenas aos seus arquivos.
Os pesquisadores também apontam que é a primeira vez que este tipo de capacidade é detectado em uma botnet voltada para ganhos financeiros. Até hoje, os únicos malwares conhecidos deste tipo se chamavam LoJax e MosaicRegressor, que estão ligados à ação de hackers bancados, respectivamente, pelos governos da Rússia e da China.
Fonte: Olhar Digital