Envían malware a través del bootkit de UEFI con MosaicRegressor

Los ciberdelincuentes están empleando un marco de trabajo sofisticado y malicioso cuyas herramientas incluyen algunas filtraciones de Hacking Team.

Hace poco nuestros investigadores descubrieron una serie de ataques dirigidos sofisticados contra instituciones diplomáticas y algunas ONG en Asia, Europa y África. Hasta donde sabemos, todas las víctimas estaban relacionadas con Corea del Norte de una u otra forma, ya sea por actividades sin ánimo de lucro o por relaciones diplomáticas.

Los atacantes utilizaron un sofisticado marco de trabajo de ciberespionaje modular que nuestros investigadores denominaron MosaicRegressor. Nuestra investigación reveló que en algunos casos el malware se introducía en los ordenadores de las víctimas mediante UEFI modificados, un evento muy poco frecuente en el malware en activo. Sin embargo, en la mayoría de los casos, los atacantes utilizaban el spear-phishing, un método más convencional.

¿Qué es UEFI y por qué el bootkit es peligroso?

UEFI, al igual que BIOS (al cual sustituye), es un software que funciona al encender el ordenador, incluso antes de que arranque el sistema operativo. Además, no se almacena en el disco duro, sino en un microprocesador de la placa base. Si los ciberdelincuentes modifican el código UEFI, pueden utilizarlo para enviar malware al sistema de una víctima.

Y eso es exactamente lo que encontramos en esta campaña. Por si fuera poco, al crear su firmware UEFI modificado, los atacantes utilizaron el código fuente de VectorEDK, un bootkit de Hacking Team que se filtró en la web. Si bien el código fuente quedó a disposición del público en el 2015, esta es la primera prueba que vemos de su uso por parte de los ciberdelincuentes.

Cuando el sistema arranca, el bootkit coloca el archivo malicioso IntelUpdate.exe en la carpeta de arranque del sistema. El archivo ejecutable descarga e instala otros componentes de MosaicRegressor en el ordenar. Y, aunque detecte este archivo malicioso, debido al relativo aislamiento de UEFI, resulta casi imposible de eliminar. No sirve de nada borrarlo ni reinstalar el sistema operativo por completo. La única forma de resolver el problema es reprogramando la placa base.

¿Es peligroso MosaicRegressor?

Los componentes de MosaicRegressor que lograron infiltrarse en los ordenadores de las víctimas (ya sea mediante un UEFI comprometido o mediante phishing dirigido) se conectaron a sus servidores de mando y control, descargaron módulos adicionales y los ejecutaron. Después, estos módulos se usaron para robar información. Por ejemplo, uno de ellos envió los documentos abiertos a los ciberdelincuentes.

Se usaron varios mecanismos para comunicarse con los servidores de mando y control: la biblioteca cURL (para HTTP/HTTPS), la interfaz del servicio de transferencia inteligente en segundo plano (BITS), la interfaz de programación WinHTTP y los servicios de correo electrónico gratuito que usan los protocolos POP3S, SMTPS o IMAPS.

En esta publicación de Securelist encontrarás un análisis técnico más detallado del marco de trabajo malicioso de MosaicRegressor, junto con indicadores de compromiso.

Cómo protegerte de MosaicRegressor

Para protegerte contra MosaicRegressor, la primera amenaza que debes neutralizar es el spear-phishing, pues así es como comienzan la mayoría de los ataques sofisticados. Para lograr una protección informática de los empleados, te recomendamos usar una combinación de productos de seguridad con tecnologías avanzadas antiphishing y que ofrezcas formaciones para fomentar la sensibilización de los empleados acerca de los ataques de este tipo.

Nuestras soluciones de seguridad detectan módulos maliciosos cuya misión es el robo de datos.

En cuanto al firmware comprometido, desafortunadamente no sabemos cómo consiguió penetrar el bootkit en los ordenadores de las víctimas. De acuerdo con la información de la filtración de HackingTeam, probablemente los atacantes necesitaron acceso físico y utilizaron una unidad USB para infectar las máquinas. Sin embargo, no se pueden descartar otros métodos para la vulneración de UEFI.

Sigue estos pasos para protegerte contra el bootkit UEFI de MosaicRegressor:

  • Comprueba el sitio web del fabricante de tu ordenador o placa base para saber si tu hardware es compatible con Intel Boot Guard, que evita la modificación no autorizada del firmware
  • Usa el cifrado de disco completo para evitar que un bootkit instale su carga nociva.
  • Usa una solución de seguridad fiable que pueda escanear e identificar las amenazas de este tipo. Desde el 2019, nuestros productos han encontrado amenazas ocultas en el ROM BIOS y el firmware De hecho, nuestra tecnología especializada Firmware Scanner fue la primera en detectar este ataque.
Consejos