MosaicRegressor
MosaicRegressor representa solo la segunda vez que se ha observado que el rootkit UEFI se implementa en la naturaleza. UEFI son las siglas de Unified Extensible Firmware Interface y es un objetivo realmente jugoso para los operadores de malware porque está instalado en un almacenamiento flash de bus de interfaz periférica serial (SPI) que está soldado a la placa base de la computadora directamente. Como resultado, cualquier malware que lo explote logrará una tremenda persistencia en el sistema comprometido, ya que no será modificado por la reinstalación del sistema operativo o cualquier cambio en los discos duros.
El nombre MosaicRegressor fue dado a este rootkit UEFI por los investigadores que lo descubrieron por primera vez. Según sus hallazgos, MosaicRegressor no se construyó desde cero. En cambio, los piratas informáticos tomaron el código del kit de arranque VectorEDK de Hacking Team, que se filtró en 2015, y lo modificaron en gran medida. Los ciberdelincuentes crearon un marco bastante complejo para las actividades del rootkit. Incorpora múltiples descargadores y varios cargadores intermedios antes de que los módulos de carga útil final caigan en el sistema comprometido. La estructura sofisticada y el hecho de que los módulos corruptos se ejecutan solo al recibir el comando apropiado de los piratas informáticos crean obstáculos importantes para el análisis del rootkit. Sin embargo, los investigadores de seguridad pudieron determinar que un módulo en particular era responsable de recopilar, archivar y luego exfiltrar los datos encontrados en la carpeta Documentos recientes.
Las víctimas de MosaicRegressor comparten conexión con Corea del Norte
Entidades de varios continentes diferentes parecen estar entre las víctimas de MosaicRegressor. El rootkit se encontró en computadoras de varias Organizaciones No Gubernamentales (ONG) y entidades diplomáticas ubicadas en Europa, África y Asia durante los dos años entre 2017 y 2019. El único hilo común entre las víctimas que los investigadores de ciberseguridad pudieron encontrar es su ubicación en Corea del Norte. Todas las organizaciones afectadas estaban presentes en el país o realizaban actividades sin fines de lucro relacionadas con él. De hecho, uno de los vectores de ataque empleados por los piratas informáticos fue distribuir archivos SFX envenenados disfrazados de documentos que discuten varios temas relacionados con Corea del Norte.
