Hackers comienzan a usar virus bootkit. La reinstalación del sistema operativo no eliminará este virus

Un grupo de hackers aparentemente patrocinados por el gobierno de China fue detectado usando un kit de arranque UEFI para descargar e instalar malware adicional en equipos vulnerables. El firmware UEFI es un componente fundamental en múltiples dispositivos, pues ayuda a arrancar sistemas operativos como Windows, Linux, macOS, entre otros.

Los ataques al firmware UEFI son algo especialmente valorado en la comunidad del hacking malicioso, pues la inyección de código malicioso en este componente permite a los actores de amenazas prevalecer a pesar de la reinstalación del sistema operativo. No obstante, este es un vector de ataque poco común debido a que los actores de amenazas requieren acceso físico al dispositivo afectado o bien realizar un ataque mediante el compromiso de una cadena de suministro.   

A través de una presentación virtual, los expertos de la firma de seguridad Kaspersky revelaron la detección de una segunda instancia conocida de un ataque que se aprovecha del código malicioso inyectado en UEFI. En la práctica este reporte podría considerarse de la segunda parte de un informe elaborado por ESET en el que se menciona que los hackers de Fancy Bear, grupo auspiciado por Rusia, explotan este componente.   

Kaspersky descubrió estos ataques después de que su módulo Firmware Scanner marcara dos computadoras como sospechosas, mencionando que investigaron los sistemas marcados y encontraron código malicioso dentro del firmware UEFI. Este código fue diseñado para instalar una aplicación maliciosa después de que se inicia cada computadora afectada.

Este programa de ejecución automática descarga otros componentes de malware que Kaspersky identificó como MosaicRegressor, que cuenta con una funcionalidad para recopilar todos los documentos de la carpeta “Documentos Recientes” con el fin de colocarlos en un archivo protegido con contraseña y extraerlos mediante otro componente.   

Aunque los investigadores mencionaron que el kit de arranque UEFI fue encontrado en solo dos sistemas, se detectaron múltiples componentes de MosaicRegressor en diversas computadoras que parecen haber sido seleccionados cuidadosamente en las redes de entidades diplomáticas y organizaciones no gubernamentales. Más reportes de la compañía relacionados con este incidente pueden ser encontrados en sus plataformas oficiales.