A Kaspersky még tavaly implementálta vírusirtójába azt a firmware szkenner modult, aminek köszönhetően most egy aktívan alkalmazott, a rendszerindításkor már aktiválódó UEFI malware-t fedeztek fel, melyet persze alaposan ki is elemeztek.
A cég által kiadott jelentésben taglalják a MosaicRegressor névre keresztelt malware-t. A vizsgálat bebizonyította, hogy a jelenlegi fertőzés a még 2015-ben kiszivárgott Hacking Team-féle VectorEDK-ra épül.
A malware elsődleges feladata, hogy egy IntelUpdate.exe fájlt írjon a Windows Startup mappájába, hogy az a rendszer indítása után elinduljon. A malware még azt is figyeli, hogy eltávolították-e a fájlt és visszaírja a helyére. Az egyetlen megoldás az UEFI firmware felülírása, hogy megszabaduljanak a fertőzéstől.
A vizsgálatok során nem találták információt arról, hogy miként is került a számítógépekre a módosított firmware, de nagy valószínűséggel fizikai hozzáféréssel, egy USB eszközről való indítás által sikerült felülírni az UEFI-t.
