Nieuwe TrickBot-malware in staat om UEFI-firmware te manipuleren

[Captain Kirk]

Onderzoekers hebben een nieuwe variant van de berucht TrickBot-malware ontdekt die in staat is om op besmette systemen de UEFI-firmware te manipuleren. Hierdoor zou de malware in theorie een herinstallatie van het besturingssysteem kunnen overleven, zo meldt securitybedrijf Eclypsium.

De eerste versie van TrickBot werd in 2016 waargenomen en betrof een banking Trojan. Het gaat hier om malware speciaal ontwikkeld om gegevens te stelen voor het frauderen met internetbankieren. Niet alleen wisten de ontwikkelaars de afgelopen jaren meer dan een miljoen machines met TrickBot te infecteren, de malware groeide dankzij de modulaire opzet uit tot een veelzijdig gereedschap voor cybercriminelen, zo liet Microsoft onlangs nog weten.

Naast het stelen van wachtwoorden en allerlei andere gegevens wordt TrickBot ook ingezet voor het uitrollen van aanvullende malware, waaronder de Ryuk-ransomware. Voor de verspreiding van TrickBot wordt gebruik gemaakt van e-mailbijlagen en andere malware die al op besmette computers aanwezig is, zoals de Emotet-malware. Vorige week kwam de Franse overheid nog met een document waarin het de rol van TrickBot bij de verspreiding van de Ryuk-ransomware beschreef (pdf).

In oktober vonden onderzoekers van Eclypsium een TrickBot-versie die over een nieuwe module beschikte die de UEFI-firmware van het systeem controleerde. De Unified Extensible Firmware Interface (UEFI) zorgt voor de communicatie tussen het besturingssysteem en de hardware. Het is essentieel voor de werking van de computer en tevens de eerste belangrijke software die wordt geladen. Wanneer malware de firmware weet aan te passen kan dit grote gevolgen voor de veiligheid van het systeem hebben.

De nieuwe TrickBot-versie gebruikte een driver van het programma RWEverything om via de SPI-controller te controleren of de UEFI-firmware kan worden aangepast. RWEverything is een tool waarmee het mogelijk is om aanwezige firmware te overschrijven. Op dit moment controleert TrickBot alleen of de schrijfbeveiliging van de firmware staat ingeschakeld en wordt die niet overschreven. De malware beschikt echter al over de code om firmware te lezen, beschrijven en wissen, zo stellen de onderzoekers.

Ze waarschuwen dat dit vergaande gevolgen kan hebben. Zo kan de malware van kwetsbare systemen de firmware wissen zodat de machine niet meer opstart of is het mogelijk om voor het starten van het besturingssysteem aanwezige beveiligingssoftware uit te schakelen. "Gegeven de omvang en reikwijdte van TrickBot is de ontdekking van een module die zich op firmware richt verontrustend", aldus de onderzoekers. "Deze aanvallers verzamelen doelwitten waarvan is bevestigd dat ze kwetsbaar voor firmware-aanpassingen zijn, en één aangepaste regel code maakt van deze verkenningsmodule een aanvalsfunctie."

 

bron: https://www.security.nl