{"id":20250,"date":"2020-10-08T12:48:14","date_gmt":"2020-10-08T18:48:14","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=20250"},"modified":"2020-10-08T12:48:14","modified_gmt":"2020-10-08T18:48:14","slug":"mosaicregressor-uefi-malware","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/mosaicregressor-uefi-malware\/20250\/","title":{"rendered":"MosaicRegressor: env\u00edo de malware a trav\u00e9s del bootkit UEFI"},"content":{"rendered":"

Recientemente, nuestros investigadores descubrieron ataques dirigidos sofisticados<\/a> contra instituciones diplom\u00e1ticas y ONGs en Asia, Europa y \u00c1frica. Hasta donde podemos decir, todas las v\u00edctimas estaban relacionadas con Corea del Norte de una u otra manera, ya sea por actividades sin fines de lucro o por nexos diplom\u00e1ticos.<\/p>\n

Los atacantes utilizaron un sofisticado marco de trabajo de ciberespionaje modular que nuestros investigadores denominaron MosaicRegressor. Nuestra investigaci\u00f3n revel\u00f3 que en algunos casos el malware<\/em> ingres\u00f3 en las computadoras de las v\u00edctimas mediante UEFIs modificados, un evento extremadamente infrecuente en el malware<\/em> activo. Sin embargo, en la mayor\u00eda de los casos, los atacantes utilizaron spear-phishing<\/em> (phishing<\/em> dirigido), un m\u00e9todo m\u00e1s convencional.<\/p>\n

\u00a0<\/p>\n

\u00bfQu\u00e9 es UEFI y por qu\u00e9 el bootkit<\/em> es peligroso?<\/h2>\n

UEFI, al igual que BIOS (al cual sustituye), es un software<\/em> que funciona al encender la computadora, incluso antes de que arranque el sistema operativo. Adem\u00e1s, se almacena no en el disco duro, sino en un microprocesador en la tarjeta madre. Si los cibercriminales modifican el c\u00f3digo de UEFI, pueden utilizarlo el env\u00edo potencial de malware<\/em> al sistema de una v\u00edctima.<\/p>\n

Y eso es exactamente lo que encontramos en la campa\u00f1a ya descrita. Por si fuera poco, al crear su firmware<\/em> de UEFI modificado, los atacantes utilizaron el c\u00f3digo fuente de VectorEDK, un bootkit<\/em> del Hacking Team que se filtr\u00f3 en la web. Si bien el c\u00f3digo fuente estaba a disposici\u00f3n del p\u00fablico en 2015, esta es la primera prueba que vemos de su uso por parte de los cibercriminales.<\/p>\n

Cuando el sistema inicia, el bootkit<\/em> coloca el archivo malicioso IntelUpdate.exe en la carpeta de arranque del sistema. El archivo ejecutable descarga e instala otros componentes de MosaicRegressor en la computadora. Incluso si se detecta este archivo malicioso, debido al relativo aislamiento de UEFI resulta casi imposible de eliminar. No sirve de nada borrarlo ni reinstalar el sistema operativo por completo. La \u00fanica manera de resolver el problema es reprogramando la tarjeta madre.<\/p>\n

\u00a0<\/p>\n

<\/strong><\/p>\n

\u00a0<\/p>\n

\u00bfCu\u00e1n peligroso es MosaicRegressor?<\/h2>\n

Los componentes de MosaicRegressor que lograron infiltrarse en las computadoras de las v\u00edctimas (ya sea mediante un UEFI comprometido o mediante phishing<\/em> dirigido) se conectaron con los servidores de su centro de mando y control, descargaron m\u00f3dulos adicionales y los ejecutaron. Despu\u00e9s, estos m\u00f3dulos se usaron para robar informaci\u00f3n. Por ejemplo, uno de ellos envi\u00f3 los documentos recientemente abiertos a los cibercriminales.<\/p>\n

Se usaron varios mecanismos para comunicarse con los servidores de mando y control: la biblioteca de cURL (para HTTP\/HTTPS), la interfaz del servicio de transferencia inteligente en segundo plano (BITS), la interfaz de programaci\u00f3n WinHTTP y los servicios de correo electr\u00f3nico gratuito que usan los protocolos POP3S, SMTPS o IMAPS.<\/p>\n

Esta publicaci\u00f3n en Securelist<\/a> proporciona un an\u00e1lisis t\u00e9cnico m\u00e1s detallados del marco de trabajo malicioso de MosaicRegressor, junto con indicadores de compromiso.<\/p>\n

\u00a0<\/p>\n

C\u00f3mo protegerte de MosaicRegressor<\/h2>\n

Para protegerte contra MosaicRegressor, la primera amenaza a neutralizar es el spear-phishing<\/em>, pues es as\u00ed como comienza la mayor\u00eda de los ataques sofisticados. Para lograr una protecci\u00f3n inform\u00e1tica de los empleados, te recomendamos usar una combinaci\u00f3n de productos de seguridad con las tecnolog\u00edas avanzadas antiphishing<\/em> y formaci\u00f3n para fomentar la concientizaci\u00f3n de los empleados<\/a>acerca de los ataques de este tipo.<\/p>\n

Nuestras soluciones de seguridad<\/a> detectan m\u00f3dulos maliciosos cuya misi\u00f3n es el robo de datos.<\/p>\n

En cuanto al firmware<\/em> comprometido, desafortunadamente no sabemos c\u00f3mo es que el bootkit<\/em> penetr\u00f3 en las computadoras de las v\u00edctimas. De acuerdo con informaci\u00f3n de la filtraci\u00f3n del HackingTeam, probablemente los atacantes necesitaron acceso f\u00edsico y utilizaron una unidad USB para infectar las m\u00e1quinas. Sin embargo, no se pueden descartar otros m\u00e9todos de vulneraci\u00f3n de UEFI.<\/p>\n

Sigue estos pasos para protegerte contra el bootkit<\/em> UEFI de MosaicRegressor:<\/p>\n