MoonBounce: Neues Bootkit wird man fast nur durch PC-Neukauf los

Christian Kahle am 25.01.2022 15:39 Uhr
31 Kommentare
Ein neu entdecktes Bootkit sorgt auf infizierten Rechnen für erhebliche Probleme. Denn wenn sich MoonBounce erst ein­mal eingenistet hat, helfen die herkömmlichen Ge­gen­maß­nah­men kaum noch und es läuft eher auf die An­schaf­fung ei­nes neuen Rechners hinaus.

Für gewöhnlich nisten sich solche Malwares in der EFI System Partition (ESP) der Festplatte bzw. der SSD ein, in der auch der überwiegende Teil des UEFI-Codes zu finden ist. Hier kann man die Infektion zumindest dadurch loswerden, dass man den Festspeicher komplett austauscht und das Betriebssystem auf dem neuen Medium installiert. So wäre dann zumindest der Rest der Hardware gerettet und man kommt mit einem überschaubaren finanziellen Einsatz aus der Sache heraus.

MoonBounce setzt sich hingegen im SPI-Fehler-Speicher fest. Dabei handelt es sich um ein gesondertes Modul auf dem Motherboard, das nur in einem ziemlich komplexen Verfahren neu geflasht werden kann. Die leichtere Lösung ist hier dann ein Austausch des Motherboards, was in vielen Fällen letztlich einem wirtschaftlichen Totalschaden gleichkommt.

Kaum normale Kriminelle

Entdeckt wurde die Malware durch die Security-Forscher bei Kaspersky. Wie diese ausführten, handelt es sich überhaupt erst um das dritte Bootkit, das den SPI-Speicher infiziert. Bei den anderen beiden handelte es sich um LoJax und MosaicRegressor. Darüber hinaus gibt es inzwischen auch noch diverse andere Schädlinge, die das UEFI angreifen, die sich dann allerdings meist im ESP verstecken - zu diesen gehört auch der Staatstrojaner FinSpy vom Münchener Malware-Hersteller FinFisher.

Die Entwicklung eines Bootkits wie MoonBounce ist eine ziemlich komplexe Angelegenheit, für die herkömmliche kriminelle Gruppen kaum die Ressourcen haben. Hinzu kommt, dass die Ziele normaler Krimineller meist auch einfacher zu erreichen sind. Anders sieht es hingegen aus, wenn das Ziel in Spionage auf wirtschaftlicher oder staatlicher Ebene liegt. Aufgrund der Charakteristik der Malware haben die Kaspersky-Experten im Falle MoonBounce' ein Team im Verdacht, das als ATP41 bezeichnet wird und wahrscheinlich aus China stammt.

Siehe auch: Nemesis: Bootkit-Malware tarnt sich gut und klaut Finanzdaten
31 Kommentare lesen & antworten
Jede Woche neu: Top-News per E-Mail
Folge WinFuture auf Google News
Verwandte Themen
Kaspersky
Desktop-Version anzeigen
Hoch © 2022 WinFuture Impressum Datenschutz Cookies