{"id":18360,"date":"2020-12-03T21:46:21","date_gmt":"2020-12-04T00:46:21","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=18360"},"modified":"2020-12-07T11:13:15","modified_gmt":"2020-12-07T14:13:15","slug":"malware-tricbot-obtem-recurso-uefi-bios-permanecendo-indetectado","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2020\/12\/exploits\/malware-tricbot-obtem-recurso-uefi-bios-permanecendo-indetectado\/","title":{"rendered":"Malware TrickBot obt\u00e9m recurso UEFI\/BIOS e permanece indetect\u00e1vel."},"content":{"rendered":"\n

 <\/p>\n

 <\/h6>\n
TrickBot, um dos botnets de malware mais not\u00f3rios e adapt\u00e1veis \u200b\u200bdo mundo, est\u00e1 expandindo seu conjunto de ferramentas para definir vulnerabilidades de firmware para potencialmente implantar bootkits e assumir o controle total de um sistema infectado.<\/span><\/h6>\n

 <\/p>\n

A nova funcionalidade, apelidada de “TrickBoot” pela Advanced Intelligence (AdvIntel) e Eclypsium, faz uso de ferramentas prontamente dispon\u00edveis para verificar dispositivos para vulnerabilidades conhecidas que podem permitir que invasores injetem c\u00f3digo malicioso no firmware UEFI\/BIOS de um dispositivo, garantindo os atacantes um mecanismo eficaz de armazenamento persistente de malware. <\/span><\/h6>\n

 <\/p>\n

“Isso marca um passo significativo na evolu\u00e7\u00e3o do TrickBot, j\u00e1 que os implantes de n\u00edvel UEFI s\u00e3o a forma mais profunda, poderosa e furtiva de bootkits”, disseram os pesquisadores.<\/span><\/h6>\n

 <\/p>\n

“Ao adicionar a capacidade de analisar os dispositivos das v\u00edtimas para vulnerabilidades espec\u00edficas de firmware UEFI\/BIOS, os agentes TrickBot s\u00e3o capazes de atingir v\u00edtimas espec\u00edficas com persist\u00eancia de n\u00edvel de firmware que sobrevive \u00e0 re-imagem ou at\u00e9 mesmo \u00e0 capacidade de bloqueio de dispositivo.<\/span><\/h6>\n

 <\/p>\n

UEFI \u00e9 uma interface de firmware e um substituto para o BIOS que melhora a seguran\u00e7a, garantindo que nenhum malware adultere o processo de inicializa\u00e7\u00e3o. Como a UEFI facilita o carregamento do pr\u00f3prio sistema operacional, essas infec\u00e7\u00f5es s\u00e3o resistentes \u00e0 reinstala\u00e7\u00e3o do sistema operacional ou \u00e0 substitui\u00e7\u00e3o do disco r\u00edgido.<\/span><\/h6>\n

 <\/p>\n

\"\"<\/a><\/p>\n

 <\/h6>\n
O TrickBot surgiu em 2016 como um cavalo de Troia banc\u00e1rio, mas desde ent\u00e3o evoluiu para um malware como servi\u00e7o (MaaS) multifuncional que infecta sistemas com outras cargas maliciosas projetadas para roubar credenciais, e-mail, dados financeiros e espalhar ransomware de criptografia de arquivos como Conti e Ryuk. <\/span><\/h6>\n
 <\/h6>\n
Sua modularidade e versatilidade o tornaram uma ferramenta ideal para um conjunto diversificado de agentes de amea\u00e7as, apesar das tentativas de fornecedores cibern\u00e9ticos de derrubar a infraestrutura. Tamb\u00e9m foi observado em conjunto com campanhas da Emotet para implantar o ransomware Ryuk.<\/span><\/h6>\n

 <\/p>\n

\"\"<\/a><\/p>\n

\n
 <\/h6>\n<\/div>\n
\n
\n
\n
\n
“Sua cadeia de ataque mais comum come\u00e7a em grande parte por meio de campanhas de malspam do Emotet, que ent\u00e3o carregam o TrickBot e\/ou outros carregadores e se movem para ferramentas de ataque como PowerShell Empire ou Cobalt Strike para cumprir objetivos relativos \u00e0 organiza\u00e7\u00e3o v\u00edtima sob ataque”, conforme os pesquisadores. <\/span><\/h6>\n
 <\/h6>\n
“Freq\u00fcentemente, no final da cadeia de destrui\u00e7\u00e3o, o ransomware Conti ou Ryuk \u00e9 implantado.”<\/span><\/h6>\n

 <\/p>\n

At\u00e9 o momento, o botnet infectou mais de um milh\u00e3o de computadores, de acordo com a Microsoft e seus parceiros da Symantec, ESET, FS-ISAC e Lumen.<\/span><\/h6>\n

 <\/p>\n

\n
De um M\u00f3dulo de Reconhecimento a uma Fun\u00e7\u00e3o de Ataque<\/strong><\/span><\/h6>\n

 <\/p>\n

A mais recente adi\u00e7\u00e3o ao seu arsenal sugere que o TrickBot n\u00e3o s\u00f3 pode ser usado para direcionar os sistemas em massa com ransomware e ataques UEFI, mas tamb\u00e9m fornecer aos criminosos ainda mais poder durante a negocia\u00e7\u00e3o do resgate, deixando um bootkit UEFI oculto no sistema para uso posterior.<\/span><\/h6>\n

 <\/p>\n

O desenvolvimento tamb\u00e9m \u00e9 outro sinal de que os advers\u00e1rios est\u00e3o estendendo seu foco al\u00e9m do sistema operacional do dispositivo para camadas inferiores para evitar a detec\u00e7\u00e3o e realizar campanhas destrutivas ou com foco em espionagem.<\/span><\/h6>\n

 <\/p>\n

O componente de reconhecimento do TrickBot, observado pela primeira vez em outubro de 2020, logo ap\u00f3s as tentativas de derrubada orquestradas pelo US Cyber \u200b\u200bCommand e pela Microsoft, tem como alvo os sistemas baseados em Intel da Skylake at\u00e9 os chipsets Comet Lake para sondar vulnerabilidades no firmware UEFI dos infectados m\u00e1quinas.<\/span><\/h6>\n

 <\/p>\n

Especificamente, os pesquisadores descobriram que o TrickBoot visa o chip flash SPI que hospeda o firmware UEFI\/BIOS, usando uma c\u00f3pia ofuscada do driver RwDrv.sys da ferramenta RWEverything para verificar se o registro de controle do BIOS est\u00e1 desbloqueado e o conte\u00fado da regi\u00e3o do BIOS pode ser modificado.<\/span><\/h6>\n

 <\/p>\n

Este artigo \u00e9 uma tradu\u00e7\u00e3o de:  https:\/\/thehackernews.com\/2020\/12\/trickbot-malware-gets-uefibios-bootkit.html<\/h6>\n<\/div>\n

 <\/p>\n

\n
<\/pre>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n
 <\/p>\n
 <\/p>\n
 <\/p>\n\n\n\n
<\/pre>\n","protected":false},"excerpt":{"rendered":"
    TrickBot, um dos botnets de malware mais not\u00f3rios e adapt\u00e1veis \u200b\u200bdo mundo, est\u00e1 expandindo seu conjunto de ferramentas para definir vulnerabilidades de firmware para potencialmente implantar bootkits e assumir o controle total de um sistema infectado.   A nova funcionalidade, apelidada de “TrickBoot” pela Advanced Intelligence (AdvIntel) e Eclypsium, faz uso de ferramentas […]<\/p>\n","protected":false},"author":2,"featured_media":18368,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[100,21,105,99],"tags":[],"class_list":["post-18360","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-diversos","category-exploits","category-noticias","category-novidades"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/18360","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=18360"}],"version-history":[{"count":36,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/18360\/revisions"}],"predecessor-version":[{"id":18399,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/18360\/revisions\/18399"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/18368"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=18360"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=18360"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=18360"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}