O malware usa um recurso dos processadores Intel para roubar dados e impedir firewalls

A equipe de segurança da Microsoft descobriu um novo malware que tira proveito da interface SOLT da Intel (Active Management Technology) da Intel como uma ferramenta de transferência de arquivos.

Devido à operação da tecnologia Intel AMT SOL, o tráfego da interface SOL ignora as redes locais de computadores; portanto, firewalls ou produtos de segurança instalados localmente não podem detectar ou bloquear malware ao enviar dados para o exterior.

Intel AMT SOL expõe uma interface de rede oculta

Parece ser possível porque o Intel AMT SOL faz parte do Intel ME (Management Engine), um processador separado embutido nas CPUs da Intel e executando seu próprio sistema operacional.

O Intel ME é executado mesmo quando o processador principal está desligado e, embora esse recurso possa parecer estranho, a Intel o incorporou para fornecer recursos de gerenciamento remoto para empresas que gerenciam grandes redes de centenas de computadores.

No entanto, a boa notícia é que a interface Intel AMT SOL está desativada por padrão em todas as CPUs Intel; portanto, o proprietário do PC ou o administrador do sistema local precisa ativar manualmente esse recurso. No entanto, a Microsoft descobriu malware criado por um grupo de espionagem cibernética que tira proveito da interface para roubar dados de computadores infectados.

A Microsoft não revelou se os hackers, pertencentes a um grupo conhecido como PLATINUM, encontraram uma maneira secreta de habilitar esse recurso em computadores infectados, ou se simplesmente o acharam ativo e decidiram usá-lo.

Diante desses fatos, a Microsoft disse que conseguiu identificar o malware que estava funcionando e lançou uma atualização para o Windows Defender ATP para detectá-lo antes de obter acesso à interface AMT SOL.