Os pesquisadores da ESET relataram o primeiro bootkit UEFI direcionado a sistemas Linux. Anteriormente, os invasores usavam esse tipo de malware apenas para atacar computadores com Windows, escreve BleepingComputer.
Bootkitty (IranuKit) foi carregado na plataforma VirusTotal em 5 de novembro de 2024 como bootkit.efi. De acordo com a ESET, por vários motivos, o Bootkitty é uma prova de conceito que só funciona em algumas versões e configurações do Ubuntu e não é uma ameaça completa usada em ataques reais.
«Quer seja uma prova de conceito ou não, o Bootkitty marca um passo interessante no cenário de ameaças UEFI, desafiando a crença de que os atuais bootkits UEFI são ameaças exclusivas do Windows”, disseram os pesquisadores, acrescentando que o surgimento do bootkit “ressalta a necessidade de ser preparado para potenciais ameaças futuras.”
Fonte da imagem: ESET
De acordo com a ESET, o objetivo principal do bootkit é desabilitar o recurso de verificação de assinatura do kernel e pré-carregar dois binários ELF ainda desconhecidos durante o processo de inicialização do kernel. O Bootkitty usa um certificado autoassinado, portanto, não será executado em sistemas com inicialização segura habilitada, a menos que um certificado controlado pelo invasor já tenha sido conectado.
Quando o computador é inicializado, o bootkit intercepta funções nos protocolos de autenticação de segurança UEFI para ignorar as verificações de integridade do Secure Boot, garantindo que o bootkit seja inicializado independentemente das políticas de segurança. Depois disso, ele substitui as funções de verificação de integridade e assinatura no bootloader GRUB, inclusive para a imagem do kernel. O Bootkitty então sequestra o processo de descompactação do kernel Linux e substitui a função de verificação do módulo do kernel. Por fim, permite registrar em LD_PRELOAD qualquer biblioteca que será carregada primeiro na inicialização do sistema.
Indicadores de comprometimento (IoC) relacionados ao Bootkitty foram publicados no repositório GitHub.
A Rivian iniciou oficialmente a produção em massa do SUV elétrico R2 em sua fábrica…
A MSI continua a desenvolver sua série de SSDs portáteis magnéticos. Há um ano, a…
A Cisco Systems apresentou um protótipo de um switch de rede universal para sistemas quânticos,…
A Microsoft aposentou oficialmente o nome Microsoft Gaming para sua divisão de jogos, retornando à…
Os novos jogos da franquia Call of Duty chegarão ao Game Pass com um atraso…
Jornalistas tiveram a oportunidade de testar um dos primeiros laptops baseados no processador Intel Wildcat…