Os pesquisadores da ESET relataram o primeiro bootkit UEFI direcionado a sistemas Linux. Anteriormente, os invasores usavam esse tipo de malware apenas para atacar computadores com Windows, escreve BleepingComputer.
Bootkitty (IranuKit) foi carregado na plataforma VirusTotal em 5 de novembro de 2024 como bootkit.efi. De acordo com a ESET, por vários motivos, o Bootkitty é uma prova de conceito que só funciona em algumas versões e configurações do Ubuntu e não é uma ameaça completa usada em ataques reais.
«Quer seja uma prova de conceito ou não, o Bootkitty marca um passo interessante no cenário de ameaças UEFI, desafiando a crença de que os atuais bootkits UEFI são ameaças exclusivas do Windows”, disseram os pesquisadores, acrescentando que o surgimento do bootkit “ressalta a necessidade de ser preparado para potenciais ameaças futuras.”
Fonte da imagem: ESET
De acordo com a ESET, o objetivo principal do bootkit é desabilitar o recurso de verificação de assinatura do kernel e pré-carregar dois binários ELF ainda desconhecidos durante o processo de inicialização do kernel. O Bootkitty usa um certificado autoassinado, portanto, não será executado em sistemas com inicialização segura habilitada, a menos que um certificado controlado pelo invasor já tenha sido conectado.
Quando o computador é inicializado, o bootkit intercepta funções nos protocolos de autenticação de segurança UEFI para ignorar as verificações de integridade do Secure Boot, garantindo que o bootkit seja inicializado independentemente das políticas de segurança. Depois disso, ele substitui as funções de verificação de integridade e assinatura no bootloader GRUB, inclusive para a imagem do kernel. O Bootkitty então sequestra o processo de descompactação do kernel Linux e substitui a função de verificação do módulo do kernel. Por fim, permite registrar em LD_PRELOAD qualquer biblioteca que será carregada primeiro na inicialização do sistema.
Indicadores de comprometimento (IoC) relacionados ao Bootkitty foram publicados no repositório GitHub.
Strauss Zelnick, CEO da Take-Two Interactive, comentou sobre o desenvolvimento e o cronograma de lançamento…
A Re-Logic, desenvolvedora de Terraria, anunciou que as vendas do seu jogo de aventura em…
Um pesquisador de cibersegurança conhecido pelo pseudônimo Chaotic Eclipse publicou no GitHub um exploit experimental,…
O compromisso da Apple com a proteção da privacidade dos usuários lhe rendeu uma reputação…
O site do outrora popular sistema de gerenciamento de banco de dados relacional dBASE saiu…
O jogo de corrida arcade de mundo aberto Forza Horizon 6, da editora Xbox Game…