El bootkit UEFI personalizado encontrado acechando en la naturaleza

El bootkit UEFI personalizado encontrado acechando en la naturaleza

sasha85ru | Getty Imates

Por segunda vez en los anales de la ciberseguridad, los investigadores han encontrado malware del mundo real acechando en UEFI, el firmware de bajo nivel y altamente opaco requerido para arrancar casi todas las computadoras modernas.

Como software que une el firmware del dispositivo de una PC con su sistema operativo, UEFI, abreviatura de Interfase Extensible de Firmware Unificado—Es un sistema operativo por derecho propio. Está ubicado en una SPI-Chip de almacenamiento flash conectado soldado a la placa base de la computadora, lo que dificulta la inspección o el parche del código. Y es lo primero que se ejecuta cuando se enciende una computadora, lo que le permite influir o incluso controlar el sistema operativo, las aplicaciones de seguridad y todo el software que sigue.

Esas características hacen que UEFI sea el lugar perfecto para esconder malware, y eso es exactamente lo que ha hecho un grupo de ataque desconocido, según una nueva investigación presentada el lunes por la firma de seguridad Kaspersky Lab.

El año pasado, después de que la empresa con sede en Moscú integró un nuevo firmware escáner en sus productos antivirus, los investigadores recuperaron una imagen UEFI sospechosa de uno de sus usuarios. Después de una investigación adicional, Kaspersky Lab descubrió que un usuario separado había sido infectado por la misma imagen UEFI en 2018. Ambos usuarios infectados eran figuras diplomáticas ubicadas en Asia.

El más alto nivel de persistencia

El análisis finalmente mostró que cada vez que se ejecutaba el firmware, verificaba si un archivo titulado IntelUpdate.exe estaba dentro de la carpeta de inicio de Windows. Si no fuera así, la imagen UEFI lo pondría allí. IntelUpdate.exe, resultó ser un engranaje pequeño pero importante en un marco grande y modular construido para el espionaje y la recopilación de datos. IntelUpdate.exe actuó como el primer enlace de una cadena larga. Informó a un servidor controlado por el atacante para descargar otro enlace, que a su vez, descargaría otros enlaces, todos los cuales estaban personalizados para el perfil de la persona infectada.

La compañía de seguridad presenta los hallazgos en su conferencia Security Analyst Summit @Home. en un entrada en el blog acompañando el panel, los autores Mark Lechtik e Igor Kuznetsov escribieron:

Los ataques descritos en esta publicación de blog demuestran lo lejos que puede llegar un actor para obtener el mayor nivel de persistencia en una máquina víctima. Es muy poco común ver firmware UEFI comprometido en la naturaleza, generalmente debido a la baja visibilidad de los ataques al firmware, las medidas avanzadas necesarias para implementarlo en el chip flash SPI de un objetivo y las altas apuestas de quemar activos o conjuntos de herramientas sensibles al hacer entonces.

Con esto en mente, vemos que UEFI sigue siendo un punto de interés para los actores de APT, mientras que los proveedores de seguridad lo pasan por alto en general. La combinación de nuestra tecnología y la comprensión de las campañas actuales y pasadas que aprovechan el firmware infectado nos ayuda a monitorear e informar sobre futuros ataques contra tales objetivos.

Recent Articles

Tendencias de hashtags: frustraciones de Facebook Oculus; Las empresas de telecomunicaciones del Reino Unido enfrentan nuevas reglas; La guerra contra Airbnb se calienta

Los usuarios no están sintiendo los nuevos logotipos de Google, Apple está en camino de desarrollar su propio motor de búsqueda y algo de...

Final Fantasy 16 presenta sus 6 reinos

Square Enix ha detallado los seis reinos del mundo de Valisthea de Final Fantasy 16, brindándonos más información sobre la configuración del juego.Como aprendimos...

PREGUNTE A AMY: Amigo que se tambalea necesita un lugar suave para aterrizar

Continuación del contenido del artículoAgregaré mi voz a la de Maggie. Durante mis propias pérdidas, las personas que han podido simplemente vivir conmigo en...

Entre nosotras Hack | Como Usar hack No Among Us

¡¡Hola, jugadores !! ¿Estás buscando Hack y Generador de Entre Nosotros en línea para iOS y Android? Bueno, este es el lugar indicado. Aquí...

Related Stories

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí