MosaicRegressor, módulos maliciosos en la UEFI para descarga de malware y persistencia.

Investigadores de Kaspersky descubren el uso de UEFI modificadas para incorporar varios módulos maliciosos, durante una serie de ataques informáticos dirigidos contra diplomáticos y políticos de África, Asia y Europa.

UEFI son las siglas de «Unified Extensible Firmware Interface» y se trata de la interfaz que permite la comunicación entre el Sistema Operativo y el Firmware y Hardware de la máquina. Sustituye, típicamente a la interfaz de la BIOS durante el arranque de una máquina, aportando un entorno gráfico más amigable y flexible para el usuario, una monitorización de los estados de la máquina previos al arranque del sistema operativo, independencia de la arquitectura y los controladores de la CPU, etcétera.

Al tratarse de un proceso que arranca de manera previa a los sistemas operativos, el malware instalado en la UEFI no es eliminado mediante el formateo o borrado del sistema operativo, sino que persiste.

Este caso sería el segundo conocido, por detrás de LoJax, el primer malware de este tipo, dirigido contra organizaciones gubernamentales en los Balcanes, Europa central y del este.

Según el informe, las imágenes UEFI fueron modificadas para incorporar módulos maliciosos que, posteriormente, descargarían malware específico en las víctimas. Como ya hemos dicho, la naturaleza de este ataque implica la persistencia del malware pese al borrado del sistema operativo o la eliminación del disco duro. El vector de infección es aún desconocido, pero se sospecha del acceso físico al hardware.

El nuevo malware UEFI es una versión personalizada del bootkit VectorEDK del Hacking Team, que se filtró en 2015. Se utiliza para plantar un segundo payload, desplegando «un marco modular y de múltiples etapas destinado al espionaje y la recopilación de datos» a través de descargadores adicionales para buscar y ejecutar componentes secundarios.

Los descargadores, a su vez, se ponen en contacto con el servidor de comando y control (C2) para obtener los archivos DLL de la siguiente etapa con el fin de ejecutar comandos específicos, cuyos resultados se exportan al servidor C2 o se reenvían a una dirección de correo electrónico desde donde los atacantes pueden recopilar los datos acumulados.

Así mismo, el informe también indica que existen numerosos indicios a nivel de código que señalan como presuntos autores al grupo de amenazas persistentes avanzadas APT41, de origen Chino.

Más información:

Comparte en tus redes: