Hacking Team Spyware permanece no PC apĂłs troca de disco

O spyware do Remote Control System (RCS) desenvolvido pela equipe de hackers continha um rootkit de BIOS pré-carregado para a UEFI (Unified Extensible Firmware Interface), permitindo que ele se escondesse nos sistemas infectados.spyware

A infecção invisível foi revelada após o código-fonte vazado do malware da empresa na semana passada. O Sistema de Controle Remoto (RCS) permaneceu em computadores infectados, mesmo que seus proprietários estivessem formatando ou alterando completamente o disco rígido.

Embora o spyware tenha sido projetado principalmente para o Insyde BIOS (um BIOS popular para laptops), ele pode funcionar sem problemas em um BIOS AMI, de acordo com a empresa de segurança Trend Micro.

Um PowerPoint vazado da Equipe de Hacking diz que a infecção inicial parece exigir acesso físico aos sistemas direcionados. No entanto, isso pode ser feito com outras técnicas, diz a Trend Micro, após uma análise preliminar da apresentação vazada, bem como um exame da ferramenta BIOS do rootkit da Hacking Team.

“Uma apresentação dos slides da Equipe de hackers alega que uma infecção bem-sucedida requer acesso fĂ­sico ao sistema de destino. No entanto, nĂŁo podemos descartar a possibilidade de instalação remota “, escreve Philippe Lin, engenheiro sĂŞnior da Trend Micro.

“Um cenário de ataque, por exemplo, seria: o invasor acessa o computador de destino, reinicia o shell UEFI, baixa o BIOS e o instala com o rootkit do BIOS, pisca o BIOS novamente e reinicia o sistema. objetivo. “

O UEFI SecureFlash pode oferecer medidas preventivas contra esses ataques, atualizando o BIOS sempre que houver uma versão de segurança atualizada e definindo uma senha para o BIOS ou UEFI, relata a Trend Micro.

O firmware da placa-mãe é um alvo muito atraente para hackers, porque é fácil de hackear, a infecção permanece invisível e geralmente impossível de remover.