Descoberto o primeiro bootkit UEFI direcionado exclusivamente para Linux

Os pesquisadores da ESET relataram o primeiro bootkit UEFI direcionado a sistemas Linux. Anteriormente, os invasores usavam esse tipo de malware apenas para atacar computadores com Windows, escreve BleepingComputer.

Bootkitty (IranuKit) foi carregado na plataforma VirusTotal em 5 de novembro de 2024 como bootkit.efi. De acordo com a ESET, por vários motivos, o Bootkitty é uma prova de conceito que só funciona em algumas versões e configurações do Ubuntu e não é uma ameaça completa usada em ataques reais.

«Quer seja uma prova de conceito ou não, o Bootkitty marca um passo interessante no cenário de ameaças UEFI, desafiando a crença de que os atuais bootkits UEFI são ameaças exclusivas do Windows”, disseram os pesquisadores, acrescentando que o surgimento do bootkit “ressalta a necessidade de ser preparado para potenciais ameaças futuras.”

Fonte da imagem: ESET

De acordo com a ESET, o objetivo principal do bootkit é desabilitar o recurso de verificação de assinatura do kernel e pré-carregar dois binários ELF ainda desconhecidos durante o processo de inicialização do kernel. O Bootkitty usa um certificado autoassinado, portanto, não será executado em sistemas com inicialização segura habilitada, a menos que um certificado controlado pelo invasor já tenha sido conectado.

Quando o computador é inicializado, o bootkit intercepta funções nos protocolos de autenticação de segurança UEFI para ignorar as verificações de integridade do Secure Boot, garantindo que o bootkit seja inicializado independentemente das políticas de segurança. Depois disso, ele substitui as funções de verificação de integridade e assinatura no bootloader GRUB, inclusive para a imagem do kernel. O Bootkitty então sequestra o processo de descompactação do kernel Linux e substitui a função de verificação do módulo do kernel. Por fim, permite registrar em LD_PRELOAD qualquer biblioteca que será carregada primeiro na inicialização do sistema.

Indicadores de comprometimento (IoC) relacionados ao Bootkitty foram publicados no repositório GitHub.

avalanche

Postagens recentes

Lembranças terríveis da era do Xbox 360: os Steam Machines têm uma “barra vermelha da morte” para indicar problemas.

Um dos primeiros compradores do console de jogos Steam Machine da Valve relatou que o…

39 minutos atrás

Nothing lançou sua atualização final para o Phone (1) e está encerrando o suporte.

A Nothing encerrou oficialmente as atualizações de software e o suporte para o seu dispositivo…

39 minutos atrás

A Meta✴ enviou robôs de 65 toneladas para os pântanos da Louisiana para construir uma usina de energia solar para um centro de dados de IA.

Dez robôs Built Robotics de 65 toneladas estão trabalhando na construção do complexo Hyperion da…

1 hora atrás

A Europa pode proibir as loot boxes para menores e tornar mais rigorosas as classificações etárias dos jogos.

Autoridades europeias estão se preparando para introduzir novas restrições a jogos eletrônicos, determinando quais jogos…

1 hora atrás

Contrariando os receios, as empresas que implementaram IA começaram a contratar funcionários ativamente.

A inteligência artificial é frequentemente vista como uma ameaça ao mercado de trabalho, mas um…

1 hora atrás

Como se Stargate não bastasse: o SoftBank está criando o SB Neo para entrar no mercado de computação em nuvem dos EUA.

O grupo japonês SoftBank e sua subsidiária de telecomunicações, SoftBank, planejam lançar um negócio de…

2 horas atrás