محققان شرکت امنیتی کسپرسکی تاکنون با بدافزارهای مخرب بسیاری روبهرو شدهاند، اما به ندرت مواردی مانند MosaicRegressor را دیدهاند. براساس آخرین پست منتشر شده در سایت شرکت مذکور، این دومین بدافزار شناخته شده مبتنی بر UEFI است و این مسئله از محدود بودن مدلهای مختلف آن خبر میدهد. این نرمافزار مخرب میتواند به دستگاه کاربران آسیب برساند، اما خبر خوب این است که شما احتمالا نباید نگران آلودهشدن به آن باشید.
قطعه Unified Extensible Firmware Interface یا به اختصار EUFI درواقع چیزی است که در مادربرد رایانه شما زندگی میکند. این قطعه اولین چیزی است که پس راهاندازی سیستم روشن میشود و این امکان را دارد که تقریبا به همه قسمتهای سیستمعامل دسترسی داشته باشد. متاسفانه اگر دستگاهی به آن آلوده شود، این بدافزار کار خود را در آن حتی پس از راهاندازی مجدد، فرمت کردن و جایگزینی قطعات نیز ادامه خواهد داد. ازآنجاکه UEFI روی تراشه حافظه فلشی قرار دارد که روی برد دستگاه لحیم شده است، پیدا کردن این بدافزار بسیار دشوار و پاکسازی آن نیز به مراتب سختتر است.
بنابراین اگر میخواهید به اطلاعات یک سیستم دسترسی داشته باشید و تقریبا کسی نتواند متوجه این مسئله شود، UEFI بهترین گزینه است. اما مشکلی در اینجا برای سودجویان وجود دارد، زیرا وارد کردن کد مخرب به سیستمهای UEFI بسیار دشوار است. بااینحال، کسپرسکی در سال ۲۰۱۹ یک اسکنر مخصوص را به نرمافزارهای آنتیویروس خود اضافه کرد. اکنون این شرکت میگوید دومین نمونه شناخته شده بدافزار UEFI را که MosaicRegressor نامیده میشود، شناسایی کرده است. این خبر خوبی برای کاربران خواهد بود زیرا اکنون دیگر نیازی نیست نگران استفاده سودجویان از این بدافزار باشند.
بدافزار MosaicRegressor تنها در دو رایانه مقامات دیپلماتیک آسیایی دیده شده است
این بدافزار تاکنون تنها در دو رایانه کشف شده است که هر دوی آنها نیز متعلق به مقامات دیپلماتیک آسیایی بودند. کارهایی که مهاجمان میتوانند بهوسیله این بدافزار انجام دهند بسیار متنوع است. بهطور کلی میتوان آن را یکی از مخربترین اعضای خانواده خود دانست، زیرا امکانات زیادی را دراختیار سودجو قرار میدهد و او میتواند اطلاعات بسیاری را بهوسیله آن از سیستم قربانی استخراج کند. همه اتفاقاتی که توسط این بدافزار رخ میدهد از لحظهی بوت شدن دستگاه آغاز میشود. با هر مرتبه روشن شدن دستگاه، UEFI بررسی میکند که آیا فایل IntelUpdate.exe در پوشه راه اندازی ویندوز وجود دارد؛ اگر بود که سیستم به کار خود ادامه میدهد اما در غیر این صورت فایل مدنظر به پوشه مذکور اضافه میشود. درواقع این فایل را میتوان دروازهای برای ورود MosaicRegressor به اطلاعات کاربر دانست.
هنوز اطلاعات کاملی از همه قابلیتهای این بدافزار دردسترس نیست زیرا کسپرسکی تنها موفق به جمعآوری تعداد انگشتشماری از ماژولهای آن بوده است. این تیم تأیید کرده است که MosaicRegressor میتواند اسناد موجود در سیستمهای آلوده را از بین ببرد.
پس از انجام جستجوهای دقیقتر، محققان کسپرسکی اعلام کردند که بهنظر میرسد این حمله از سوی یک فرد یا گروه چینی زبان صورت گرفته است. البته شاید این گروه از این زبان برای گمراه کردن محققان استفاده کردهاند. متاسفانه تیم این شرکت موفق به فهمیدن چگونگی عملکرد UEFI نشده اما با بررسی بدافزار ۲۰۱۵ UEFI حدسهای علمی درباره آن زده است.
از آنجایی که این نرمافزار مخرب برای شروع کار خود نیاز به دسترسی فیزیکی دارد، بهنظر میرسد تنها دستگاه کسانی که هدف قرار گرفتهاند آلوده میشود و افراد دیگر ایمن هستند. البته هنوز مشخص نیست که آیا این کار توسط یک گروه حرفهای برای یک پروژه خاص انجام شده است یا دلایل دیگری دارد. نظر شما کاربران آرین تاپ لرن درباره بدافزار MosaicRegressor چیست؟
منبع:zoomit