{"id":24039,"date":"2020-10-14T16:50:07","date_gmt":"2020-10-14T14:50:07","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=24039"},"modified":"2020-10-14T16:50:07","modified_gmt":"2020-10-14T14:50:07","slug":"mosaicregressor-uefi-malware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/mosaicregressor-uefi-malware\/24039\/","title":{"rendered":"Env\u00edan malware a trav\u00e9s del bootkit de UEFI con MosaicRegressor"},"content":{"rendered":"

Hace poco nuestros investigadores descubrieron una serie de ataques dirigidos sofisticados<\/a> contra instituciones diplom\u00e1ticas y algunas ONG en Asia, Europa y \u00c1frica. Hasta donde sabemos, todas las v\u00edctimas estaban relacionadas con Corea del Norte de una u otra forma, ya sea por actividades sin \u00e1nimo de lucro o por relaciones diplom\u00e1ticas.<\/p>\n

Los atacantes utilizaron un sofisticado marco de trabajo de ciberespionaje modular que nuestros investigadores denominaron MosaicRegressor. Nuestra investigaci\u00f3n revel\u00f3 que en algunos casos el malware<\/em> se introduc\u00eda en los ordenadores de las v\u00edctimas mediante UEFI modificados, un evento muy poco frecuente en el malware<\/em> en activo. Sin embargo, en la mayor\u00eda de los casos, los atacantes utilizaban el spear-phishing<\/em>, un m\u00e9todo m\u00e1s convencional.<\/p>\n

\u00bfQu\u00e9 es UEFI y por qu\u00e9 el bootkit<\/em> es peligroso?<\/h2>\n

UEFI, al igual que BIOS (al cual sustituye), es un software<\/em> que funciona al encender el ordenador, incluso antes de que arranque el sistema operativo. Adem\u00e1s, no se almacena en el disco duro, sino en un microprocesador de la placa base. Si los ciberdelincuentes modifican el c\u00f3digo UEFI, pueden utilizarlo para enviar malware<\/em> al sistema de una v\u00edctima.<\/p>\n

Y eso es exactamente lo que encontramos en esta campa\u00f1a. Por si fuera poco, al crear su firmware<\/em> UEFI modificado, los atacantes utilizaron el c\u00f3digo fuente de VectorEDK, un bootkit<\/em> de Hacking Team que se filtr\u00f3 en la web. Si bien el c\u00f3digo fuente qued\u00f3 a disposici\u00f3n del p\u00fablico en el 2015, esta es la primera prueba que vemos de su uso por parte de los ciberdelincuentes.<\/p>\n

Cuando el sistema arranca, el bootkit<\/em> coloca el archivo malicioso IntelUpdate.exe en la carpeta de arranque del sistema. El archivo ejecutable descarga e instala otros componentes de MosaicRegressor en el ordenar. Y, aunque detecte este archivo malicioso, debido al relativo aislamiento de UEFI, resulta casi imposible de eliminar. No sirve de nada borrarlo ni reinstalar el sistema operativo por completo. La \u00fanica forma de resolver el problema es reprogramando la placa base.<\/p>\n\n

\u00bfEs peligroso MosaicRegressor?<\/h2>\n

Los componentes de MosaicRegressor que lograron infiltrarse en los ordenadores de las v\u00edctimas (ya sea mediante un UEFI comprometido o mediante phishing<\/em> dirigido) se conectaron a sus servidores de mando y control, descargaron m\u00f3dulos adicionales y los ejecutaron. Despu\u00e9s, estos m\u00f3dulos se usaron para robar informaci\u00f3n. Por ejemplo, uno de ellos envi\u00f3 los documentos abiertos a los ciberdelincuentes.<\/p>\n

Se usaron varios mecanismos para comunicarse con los servidores de mando y control: la biblioteca cURL (para HTTP\/HTTPS), la interfaz del servicio de transferencia inteligente en segundo plano (BITS), la interfaz de programaci\u00f3n WinHTTP y los servicios de correo electr\u00f3nico gratuito que usan los protocolos POP3S, SMTPS o IMAPS.<\/p>\n

En esta publicaci\u00f3n de Securelist<\/a> encontrar\u00e1s un an\u00e1lisis t\u00e9cnico m\u00e1s detallado del marco de trabajo malicioso de MosaicRegressor, junto con indicadores de compromiso.<\/p>\n

C\u00f3mo protegerte de MosaicRegressor<\/h2>\n

Para protegerte contra MosaicRegressor, la primera amenaza que debes neutralizar es el spear-phishing<\/em>, pues as\u00ed es como comienzan la mayor\u00eda de los ataques sofisticados. Para lograr una protecci\u00f3n inform\u00e1tica de los empleados, te recomendamos usar una combinaci\u00f3n de productos de seguridad con tecnolog\u00edas avanzadas antiphishing<\/em> y que ofrezcas formaciones para fomentar la sensibilizaci\u00f3n de los empleados<\/a>\u00a0acerca de los ataques de este tipo.<\/p>\n

Nuestras soluciones de seguridad<\/a>\u00a0detectan m\u00f3dulos maliciosos cuya misi\u00f3n es el robo de datos.<\/p>\n

En cuanto al firmware<\/em> comprometido, desafortunadamente no sabemos c\u00f3mo consigui\u00f3 penetrar el bootkit<\/em> en los ordenadores de las v\u00edctimas. De acuerdo con la informaci\u00f3n de la filtraci\u00f3n de HackingTeam, probablemente los atacantes necesitaron acceso f\u00edsico y utilizaron una unidad USB para infectar las m\u00e1quinas. Sin embargo, no se pueden descartar otros m\u00e9todos para la vulneraci\u00f3n de UEFI.<\/p>\n

Sigue estos pasos para protegerte contra el bootkit<\/em> UEFI de MosaicRegressor:<\/p>\n