Los investigadores de seguridad descubrieron recientemente un nuevo ataque UEFI, donde una imagen de firmware UEFI comprometida contenía un implante malicioso. Parte de un marco de malware llamado MosaicRegressor, el ataque comprometió a víctimas con vínculos con Corea del Norte entre 2017 y 2019.
Interfase Extensible de Firmware Unificado (UEFI) es una tecnología que conecta el firmware de una computadora a su sistema operativo. El propósito de UEFI es eventualmente reemplazar el BIOS heredado. La tecnología se instala durante la fabricación.. También es el primer programa que se ejecuta cuando se inicia una computadora.. Desafortunadamente, la tecnología se ha convertido en un objetivo de actores malintencionados en "ataques excepcionalmente persistentes,”Como dicen los investigadores de Kaspersky.
Nuevo malware UEFI encontrado en la naturaleza
El equipo de investigación de Kaspersky descubrió una imagen de firmware UEFI comprometida que contenía un implante malicioso. El propósito de este implante es ejecutar malware adicional en la máquina objetivo. El firmware malicioso se utilizó en ataques en la naturaleza.. Este es el segundo caso conocido de malware UEFI explotado activamente.
¿Por qué los atacantes abusan de esta tecnología?? Pues resulta que, una de las razones es la persistencia. "El firmware UEFI lo convierte en un mecanismo perfecto de almacenamiento de malware persistente,"Kaspersky dice.
Los atacantes sofisticados pueden modificar el firmware para que implemente código malicioso que se ejecuta después de que se carga el sistema operativo.. Dado que normalmente se envía dentro del almacenamiento flash SPI que viene con la placa base de la computadora, dicho malware implantado es resistente a la reinstalación del sistema operativo o al reemplazo del disco duro.
Más sobre el marco malicioso MosaicRegressor
Según Kaspersky, componentes del marco MosaicRegressor se descubrieron en una secuencia de ataques dirigidos contra diplomáticos y africanos, asiático, y miembros europeos de una ONG. Su actividad mostró vínculos con Corea del Norte.
"Artefactos de código en algunos de los componentes del marco y superposiciones en C&La infraestructura C utilizada durante la campaña sugiere que un actor de habla china está detrás de estos ataques, posiblemente tener conexiones con grupos que utilizan la puerta trasera de Winnti,”El informe dice.
Los investigadores de seguridad creen que Winnti pertenece a un grupo paraguas, lo que significa que varias fracciones criminales más pequeñas lo usan para identificarse con él. El año pasado, la puerta trasera de Winnti estaba usando el malware Skip-2.0 infectar servidores Microsoft SQL. La campaña se basó en una vulnerabilidad en los servidores que podría permitir el acceso a los datos almacenados mediante una cadena de contraseña mágica..
En cuanto al nuevo malware UEFI, parece ser una versión personalizada del kit de arranque VectorEDK. El código del bootkit se filtró en 2015, y ha estado disponible en línea desde entonces. El malware se utiliza para plantar el marco malicioso MosaicRegressor, cuál es la segunda carga útil. MosaicRegressor es capaz de realizar ciberespionaje y recopilación de datos, y contiene descargadores adicionales que pueden ejecutar otros, componentes secundarios.
En conclusión
Aunque el malware UEFI es raro, sigue siendo un punto de interés para APT (amenaza persistente avanzada) actores. Mientras tanto, los proveedores de seguridad lo pasan por alto. Más información sobre el ataque MosaicRegressor está disponible en el informe original de Kaspersky.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: