SAS

MosaicRegressor: envío de malware a través del bootkit UEFI

Los cibercriminales están empleando un marco de trabajo sofisticado y malicioso cuyas herramientas incluyen algunas filtraciones del Hacking Team.

Pavel Shoshin
8 Oct 2020

Recientemente, nuestros investigadores descubrieron ataques dirigidos sofisticados contra instituciones diplomáticas y ONGs en Asia, Europa y África. Hasta donde podemos decir, todas las víctimas estaban relacionadas con Corea del Norte de una u otra manera, ya sea por actividades sin fines de lucro o por nexos diplomáticos.

Los atacantes utilizaron un sofisticado marco de trabajo de ciberespionaje modular que nuestros investigadores denominaron MosaicRegressor. Nuestra investigación reveló que en algunos casos el malware ingresó en las computadoras de las víctimas mediante UEFIs modificados, un evento extremadamente infrecuente en el malware activo. Sin embargo, en la mayoría de los casos, los atacantes utilizaron spear-phishing (phishing dirigido), un método más convencional.

¿Qué es UEFI y por qué el bootkit es peligroso?

UEFI, al igual que BIOS (al cual sustituye), es un software que funciona al encender la computadora, incluso antes de que arranque el sistema operativo. Además, se almacena no en el disco duro, sino en un microprocesador en la tarjeta madre. Si los cibercriminales modifican el código de UEFI, pueden utilizarlo el envío potencial de malware al sistema de una víctima.

Y eso es exactamente lo que encontramos en la campaña ya descrita. Por si fuera poco, al crear su firmware de UEFI modificado, los atacantes utilizaron el código fuente de VectorEDK, un bootkit del Hacking Team que se filtró en la web. Si bien el código fuente estaba a disposición del público en 2015, esta es la primera prueba que vemos de su uso por parte de los cibercriminales.

Cuando el sistema inicia, el bootkit coloca el archivo malicioso IntelUpdate.exe en la carpeta de arranque del sistema. El archivo ejecutable descarga e instala otros componentes de MosaicRegressor en la computadora. Incluso si se detecta este archivo malicioso, debido al relativo aislamiento de UEFI resulta casi imposible de eliminar. No sirve de nada borrarlo ni reinstalar el sistema operativo por completo. La única manera de resolver el problema es reprogramando la tarjeta madre.

¿Cuán peligroso es MosaicRegressor?

Los componentes de MosaicRegressor que lograron infiltrarse en las computadoras de las víctimas (ya sea mediante un UEFI comprometido o mediante phishing dirigido) se conectaron con los servidores de su centro de mando y control, descargaron módulos adicionales y los ejecutaron. Después, estos módulos se usaron para robar información. Por ejemplo, uno de ellos envió los documentos recientemente abiertos a los cibercriminales.

Se usaron varios mecanismos para comunicarse con los servidores de mando y control: la biblioteca de cURL (para HTTP/HTTPS), la interfaz del servicio de transferencia inteligente en segundo plano (BITS), la interfaz de programación WinHTTP y los servicios de correo electrónico gratuito que usan los protocolos POP3S, SMTPS o IMAPS.

Esta publicación en Securelist proporciona un análisis técnico más detallados del marco de trabajo malicioso de MosaicRegressor, junto con indicadores de compromiso.

Cómo protegerte de MosaicRegressor

Para protegerte contra MosaicRegressor, la primera amenaza a neutralizar es el spear-phishing, pues es así como comienza la mayoría de los ataques sofisticados. Para lograr una protección informática de los empleados, te recomendamos usar una combinación de productos de seguridad con las tecnologías avanzadas antiphishing y formación para fomentar la concientización de los empleadosacerca de los ataques de este tipo.

Nuestras soluciones de seguridad detectan módulos maliciosos cuya misión es el robo de datos.

En cuanto al firmware comprometido, desafortunadamente no sabemos cómo es que el bootkit penetró en las computadoras de las víctimas. De acuerdo con información de la filtración del HackingTeam, probablemente los atacantes necesitaron acceso físico y utilizaron una unidad USB para infectar las máquinas. Sin embargo, no se pueden descartar otros métodos de vulneración de UEFI.

Sigue estos pasos para protegerte contra el bootkit UEFI de MosaicRegressor:

Revisa el sitio web del fabricante de tu computadora o tarjeta madre para saber si tu hardware es compatible con Intel Boot Guard, el cual evita la modificación no autorizada del firmware
Usa el cifrado de disco completo para evitar que un bootkit instale su carga nociva.
Usa una solución de seguridad confiable que pueda escanear e identificar las amenazas de este tipo. Desde el 2019, nuestros productos han sido capaces de encontrar amenazas ocultas en el ROM BIOS y el firmware De hecho, nuestra tecnología dedicada Firmware Scanner detectó originalmente este ataque.

El flautista de Hamelin y las ciberarmas

La leyenda del flautista de Hamelin es una alegoría para sucesos trágicos que ocurrieron de verdad. He aquí nuestra interpretación.

Privacidad y niños

Soluciones Targeted Security

Otras soluciones

OTRA INDUSTRIA

OTROS PRODUCTOS

OTROS SERVICIOS

MosaicRegressor: envío de malware a través del bootkit UEFI

¿Qué es UEFI y por qué el bootkit es peligroso?

¿Cuán peligroso es MosaicRegressor?

Cómo protegerte de MosaicRegressor

FinSpy: la herramienta de espionaje definitiva

La puerta trasera Tomiris

El flautista de Hamelin y las ciberarmas

Consejos

Un crypto-robo de 500 millones de dólares

Llueven bitcoin: giveaway falso de Nvidia

Browser-in-the-browser: una nueva técnica de phishing

¿Quieres invertir por internet? Ten primero en cuenta estos consejos de seguridad

Suscríbete y recibe nuestras publicaciones en tu correo

Soluciones para el hogar

Empresas pequeñas

Empresas medianas

Corporativo

Securelist

Eugene Personal Blog