Los investigadores de la firma de ciberseguridad Kaspersky han descubierto una campaña de espionaje de amenaza persistente avanzada (APT). Esta campaña utiliza una forma poco común de malware invisible que es increíblemente difícil de detectar y eliminar.
El malware, conocido como bootkit de firmware, afecta la interfaz de firmware extensiva unificada (UEFI) de un ordenador. El mismo comienza a ejecutarse antes que el sistema operativo y otros programas.
Esto significa que las soluciones de seguridad instaladas no estarán en funcionamiento a tiempo para detectarlo.
Una rara amenaza
Aunque esta forma particular de malware invisible es inusual, el análisis de Kaspersky encontró que no era completamente único. Los componentes del kit de arranque UEFI utilizados para insertar código malicioso en el ordenador de un usuario se basaron en gran medida en el kit de arranque Vector-EDK; este fue creado originalmente por Hacking Team y se filtró en línea en 2015. Este código probablemente se usó luego como base para el recién descubierto malware, que Kaspersky ha denominado: ‘MosaicRegressor’.
«Aunque los ataques UEFI presentan amplias oportunidades para los actores de amenazas, MosaicRegressor es el primer caso conocido públicamente en el que un actor de amenazas usó un firmware UEFI malicioso y personalizado en la naturaleza», explicó Mark Lechtik, investigador senior de seguridad del Equipo Global de Investigación y Análisis en Kaspersky.
«Los ataques anteriormente conocidos observados en la naturaleza simplemente reutilizaron software legítimo (por ejemplo, LoJax). Esto lo convierte en el primer ataque salvaje que aprovecha un kit de arranque UEFI personalizado».
Kaspersky no pudo determinar el método exacto utilizado por los atacantes para infectar el ordenador de un usuario, pero redujo el vector de infección a dos opciones posibles. El primero implica obtener acceso físico a la PC de la víctima, utilizando una llave USB de arranque para instalar un descargador de troyanos. El segundo método, y probablemente el más común, es una simple entrega de spearphishing. ¿Cómo funciona? Instalando un descargador de troyanos que luego se puede usar para recopilar información del dispositivo infectado.
La campaña de malware MosaicRegressor no se ha vinculado de manera concluyente a ningún grupo de ciberataques conocido. Sin embargo, Kaspersky pudo conectar algunos de los ataques a documentos de spearphishing rusos, mientras que todas las víctimas, muchas de las cuales eran diplomáticos o trabajaban para ONG, tenían alguna conexión con North Corea.
:)