WisePlant – A WiseGroup Company

Este malware ‘invisible’ es casi imposible de detectar

El malware de firmware bootkit es increíblemente difícil de detectar o eliminar, advierte Kaspersky.

Los investigadores de la empresa de ciberseguridad Kaspersky han descubierto una campaña de espionaje de amenaza persistente avanzada (APT) que utiliza una forma poco común de malware que es increíblemente difícil de detectar y eliminar.

El malware, conocido como bootkit de firmware, afecta la interfaz de firmware extensiva unificada (UEFI) de una computadora, que comienza a ejecutarse antes que el sistema operativo y otros programas. 

Esto significa que las soluciones de seguridad instaladas no estarán en funcionamiento a tiempo para detectarlo.

  • Kaspersky aumenta la protección de la privacidad para los usuarios de PC con nuevas funciones
  • Este malware es otra razón para temer las presentaciones de PowerPoint
  • Apple autorizó inconscientemente este malware común para Mac

Una rara amenaza

Aunque esta forma particular de malware es inusual, el análisis de Kaspersky encontró que no era completamente único. Los componentes del kit de arranque UEFI utilizados para insertar código malicioso en el dispositivo de un usuario se basaron en gran medida en el kit de arranque Vector-EDK, que fue creado originalmente por Hacking Team y se filtró en línea en 2015. Este código probablemente se usó luego como base para el recién descubierto malware, que Kaspersky ha denominado: ‘MosaicRegressor’.

“Aunque los ataques UEFI presentan amplias oportunidades para los actores de amenazas, MosaicRegressor es el primer caso conocido públicamente en el que un actor de amenazas usó un firmware UEFI malicioso y personalizado en la naturaleza”, Mark Lechtik, investigador senior de seguridad del Equipo de Análisis e Investigación Global en Kaspersky, explicó. 

«Los ataques conocidos anteriormente observados en la naturaleza simplemente reutilizaron software legítimo (por ejemplo, LoJax), lo que lo convierte en el primer ataque salvaje que aprovecha un kit de arranque UEFI personalizado».

Kaspersky no pudo determinar el método exacto utilizado por los atacantes para infectar el dispositivo de un usuario, pero redujo el vector de infección a dos opciones posibles. El primero implica obtener acceso físico a la computadora de la víctima, utilizando una llave USB de arranque para instalar un descargador de troyanos. El segundo método, y probablemente el más común, es una simple entrega de spearphishing que instala un descargador de troyanos que luego se puede usar para recopilar información del dispositivo infectado.

La campaña de malware MosaicRegressor no se ha vinculado de manera concluyente a ningún grupo de ciberataques conocido, pero Kaspersky pudo conectar algunos de los ataques con documentos de spearphishing rusos, mientras que todas las víctimas, muchas de las cuales eran diplomáticos o trabajaban para ONG, tenían alguna conexión con North Corea.


Fuente: Link

About the author: Eduardo Kando Verified Member WiseGroup Manager

Get Involved & Participate!

The moment is now!
The experience meets opportunity!

Comments

Sin comentarios aún