Computer Security UEFI Exploit Malware persiste incluso después de...

UEFI Exploit Malware persiste incluso después de reinstalar el sistema operativo

explotar uefiLos investigadores de seguridad se han encontrado con un troyano integrado en UEFI capaz de recopilar datos en máquinas infectadas con MS Windows. A diferencia de otros Тroyanos populares, la nueva amenaza perfora un agujero en la Interfaz de firmware extensible unificada (UEFI), ubicándose así en lo profundo de la memoria flash de la placa base. Como resultado, el malware gana una gran persistencia en la PC infectada, lo que le da inmunidad contra cualquier herramienta antivirus. Además, el troyano no desaparecería incluso después de una instalación limpia de su sistema operativo MS Windows.

La segunda vez que los piratas informáticos han ideado una pieza de malware a medida de UEFI, se produce dos años después de que la amenaza Lojax apareciera en el horizonte en 2018.

La (s) carga (s)

El malware basado en UEFI sirvió como puerta trasera para otro ejecutable malicioso llamado "IntelUpdate.exe". Este último tiene como objetivo entregar datos de exfiltración de malware adicional de máquinas infectadas. Además, se carga durante el inicio del sistema, lo que lo golpea una y otra vez. Si eliminó el archivo .exe, el troyano ubicado en UEFI lo restauraría durante el próximo inicio, a menos que elimine el firmware de UEFI por completo.

Objetivos y sospechosos

Hasta ahora, la mayoría de los ataques registrados se han dirigido a organizaciones diplomáticas y no gubernamentales que se presume tienen conexiones con Corea del Norte de una forma u otra. Distribuidas por Europa, Asia y África, las víctimas obtuvieron el malware a través de un marco malicioso conocido como MosaicRegressor. Un examen más detenido del malware lo vinculó a un servidor C&C particular anteriormente asociado con Winnti, una banda cibernética supuestamente respaldada por las autoridades chinas. La presencia de símbolos chinos en el propio código también respalda esa teoría. Sin embargo, la falta de pruebas contundentes sugiere que la afirmación puede ser una mera especulación más que un hecho.

Vector de origen e infección

El origen del malware basado en UEFI se remonta a 2015, cuando una empresa italiana de tecnología de vigilancia conocida como Hacking Team fue víctima del robo de datos. Los datos, un proyecto que trata con ataques de malware dirigidos a UEFI, se filtraron en la web poco después de ese incidente. Sin embargo, no está claro si los delincuentes a cargo se han basado en esos datos o se han aprovechado de una vulnerabilidad de BIOS diferente. El vector de infección, por otro lado, es igualmente vago. Aunque las víctimas parecen haber recibido correos electrónicos de phishing de los piratas informáticos en cuestión, ninguno de esos correos electrónicos ha contenido la carga útil.

Cargando...