COMPUTING

Kaspersky encuentra software malicioso UEFI sofisticado en la naturaleza

(Crédito: Getty Images)
Los investigadores de la empresa de seguridad Kaspersky están acostumbrados a encontrar malware avanzado y tortuoso, pero rara vez han visto algo como MosaicRegressor. Según la última publicación del blog de la compañía, este es solo el segundo malware conocido basado en UEFI. Porque opera en el administrador de arranque de bajo nivel que subyace a la mayoría de las computadoras modernas, tiene un acceso al sistema extremo y poder de permanencia. La buena noticia es que probablemente no tendrá que preocuparse por infectarse.

La Interfaz de firmware extensible unificada (UEFI) es el software que vive en la placa base de su computadora. Es lo primero que se enciende cuando inicia el sistema y eso le permite acceder a casi todas las partes del sistema operativo. También persistirá después de reiniciar, formatear e incluso reemplazar componentes del sistema. Dado que el UEFI reside en un chip de memoria flash soldado a la placa, es muy difícil inspeccionarlo en busca de malware y aún más difícil de purgar.

Por lo tanto, si desea tener un sistema y reducir la probabilidad de que lo atrapen, el malware UEFI es el camino a seguir. El problema es que es muy difícil introducir códigos maliciosos en los sistemas UEFI. Aún así, Kaspersky integró un escáner de firmware especial en sus productos antivirus en 2019. Ahora, la firma dice que ha detectado la segunda instancia conocida de malware UEFI, al que llama MosaicRegressor.

La infección se descubrió en solo dos computadoras, ambas pertenecientes a funcionarios diplomáticos en Asia. La cadena de exploits completa es larga y variada, lo que permite a los atacantes cargar varios módulos para controlar el sistema objetivo y robar datos. Sin embargo, todo comienza con el cargador UEFI. En cada arranque, MosaicRegressor comprueba si su archivo malicioso “IntelUpdate.exe” está en la carpeta de inicio de Windows. Si no, agrega el archivo. Esta es la puerta de entrada a todas las otras cosas desagradables que puede hacer MosaicRegressor. Ni siquiera conocemos el alcance total de las capacidades de la operación, ya que Kaspersky solo pudo capturar algunos de los módulos de malware. Sin embargo, el equipo ha confirmado que MosaicRegressor puede exfiltrar documentos de los sistemas infectados.

Varias pistas apuntan a un actor de amenazas chino.

Los investigadores de Kaspersky señalan que el ataque parece provenir de un individuo o grupo de habla china; por lo que sabemos, puede ser una herramienta desarrollada por el gobierno chino. Kaspersky no pudo determinar cómo se alteró el código UEFI original, pero el equipo hizo algunas conjeturas basadas en una pieza de malware UEFI 2015. Ese exploit requería acceso físico a la máquina, por lo que era poco probable que alguien que no fuera el objetivo se infectara. Eso sugiere una operación profesional orquestada por una agencia de inteligencia, pero es poco probable que obtengamos confirmación de eso.

Publicaciones relacionadas

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar
Cerrar