Новый штамм вредоносного ПО способен выжить после переустановки Windows.
Вредоносное ПО для Windows, получившее название MoonBounce, создано для работы с прошивкой UEFI компьютера, которая помогает загрузить систему. Оно особенно опасно, поскольку устанавливается во флэш-память SPI материнской платы, а не на накопитель компьютера. Следовательно, вредоносное ПО может сохраниться, даже если вы переустановите ОС компьютера или замените хранилище. Поскольку оно вне жесткого диска, его активность не обнаруживается большинством защитных решений, если только у них нет функции, которая специально сканирует эту часть устройства.
Это открытие знаменует собой третий раз, когда сообщество безопасности обнаружило вредоносное ПО на основе UEFI, предназначенное для сохранения во флэш-памяти компьютера. Два предыдущих включают Lojax, который был обнаружен на компьютере жертвы в 2018 году, и Mosaic Regressor, который был обнаружен на компьютерах, принадлежащих двум жертвам, в 2020 году.
Новый штамм MoonBounce был разработан для извлечения дополнительных полезных нагрузок вредоносного ПО для установки на компьютер жертвы. Но MoonBounce еще более продвинутый и незаметный, потому что он может использовать «ранее безопасный» основной компонент в прошивке материнской платы для облегчения развертывания вредоносных программ. Цепочка заражения не оставляет следов на жестком диске, поскольку ее компоненты работают только в памяти.
Удаление MoonBounce требует перезаписи флэш-памяти SPI проверенной прошивкой поставщика либо с помощью специального инструмента для перепрошивки, либо с помощью других методов, предоставляемых самим поставщиком. Возможно, есть смысл обновить прошивку UEFI с помощью обновлений BIOS от производителя материнской платы.
