MoonBounce Malware

En la primavera de 2021, surgió una nueva amenaza de implante UEFI como parte de un ataque altamente dirigido. El análisis del ataque y la amenaza rastreada como MoonBounce se publicaron en un informe publicado por Securelist. Los investigadores descubrieron que la infección involucraba la modificación de un solo componente de la imagen de firmware del sistema informático objetivo.

Al hacerlo, los atacantes pudieron interceptar el flujo de ejecución previsto de la secuencia de arranque del dispositivo y, en su lugar, iniciar una cadena de infección avanzada. Aunque no es concluyente, múltiples factores apuntan a que MoonBounce está conectado al grupo APT (Advanced Persistent Threat) APT41, que se cree que tiene vínculos con China.

Detalles de MoonBounce

La amenaza MoonBounce es especialmente sigilosa ya que explota el flash SPI del dispositivo infectado. SPI son las siglas de Serial Peripheral Interface, un protocolo en serie que facilita la comunicación entre varios dispositivos, como los dispositivos flash en serie. Como resultado, el implante MoonBounce evita por completo la necesidad de existir en el disco duro del sistema.

Además, puede persistir a través de cualquier formato de disco o reemplazo de disco. La cadena de infección en su conjunto deja pocos rastros, ya que se ejecuta completamente sin archivos y completamente en la memoria. El objetivo principal de la amenaza MoonBounce es permitir la entrega de un malware en modo de usuario, que a su vez tiene la tarea de implementar cargas útiles adicionales de la próxima etapa obtenidas de Internet.