in

El malware que puede sobrevivir a las reinstalaciones del sistema operativo ataca de nuevo, probablemente para ciberespionaje

03RNe9n8TMHfJiEjk7BRiWG 1.fit lim.size 1200x630.v1642704176

Una nueva cepa de malware que puede sobrevivir a las reinstalaciones del sistema operativo fue detectada el año pasado escondida en secreto en una computadora, según el proveedor de antivirus Kaspersky.

La compañía descubrió el malware basado en Windows la primavera pasada ejecutándose en una sola computadora. No está claro cómo el código malicioso infectó el sistema. Pero el malware fue diseñado para operar en el firmware UEFI de la computadora, lo que ayuda a iniciar el sistema.

El malware, denominado MoonBounce, es especialmente aterrador porque se instala en la memoria flash SPI de la placa base, en lugar de en la unidad de almacenamiento de la computadora. Por lo tanto, el malware puede persistir incluso si reinstala el sistema operativo de la computadora o cambia el almacenamiento.

“Además, debido a que el código se encuentra fuera del disco duro, la actividad de estos bootkits prácticamente no es detectada por la mayoría de las soluciones de seguridad, a menos que tengan una función que escanee específicamente esta parte del dispositivo”, dijo Kaspersky.

El descubrimiento marca la tercera vez que la comunidad de seguridad descubre un malware basado en UEFI que está diseñado para persistir en la memoria flash de una computadora. Los dos anteriores incluyen Lojax, que se encontró infectando la computadora de una víctima en 2018, y Mosaic Regressor, que se encontró en máquinas pertenecientes a dos víctimas en 2020.

La nueva cepa MoonBounce fue diseñada para recuperar cargas útiles de malware adicionales para instalarlas en la computadora de la víctima. Pero según Kaspersky, MoonBounce es aún más avanzado y sigiloso porque puede usar un componente central «previamente benigno» en el firmware de la placa base para facilitar la implementación de malware.

“La cadena de infección en sí misma no deja ningún rastro en el disco duro, ya que sus componentes operan solo en la memoria, lo que facilita un ataque sin archivos con una huella pequeña”, agregó la compañía.

Cómo funciona el malware MoonBounce

Kaspersky no nombró al propietario de la computadora infectada, pero la compañía descubrió evidencia de que el código malicioso es obra de un grupo patrocinado por el estado chino llamado APT41, que es conocido por el ciberespionaje. En 2020, el Departamento de Justicia acusó a cinco presuntos miembros del grupo de hackers por violar a más de 100 empresas, incluidos desarrolladores de software y videojuegos, para robar código fuente, datos de cuentas de clientes y otra propiedad intelectual.

«MoonBounce solo se ha encontrado en una sola máquina. Sin embargo, se han encontrado otras muestras maliciosas afiliadas en las redes de varias otras víctimas», dijo la compañía, una posible señal de que el malware puede ser más frecuente de lo que se sabe actualmente.

Recomendado por Nuestros Editores

Kaspersky descubrió MoonBounce porque desarrolló un «escáner de firmware», que puede ejecutar sus programas antivirus para detectar la manipulación de UEFI. La forma más fácil de eliminar MoonBounce de una computadora no está del todo clara. Pero en teoría, debería ser factible al actualizar la memoria SPI en la placa base.

«La eliminación del kit de arranque UEFI requiere sobrescribir el flash SPI con firmware de proveedor verificado y benigno, ya sea a través de una herramienta de actualización designada u otros métodos proporcionados por el propio proveedor», dijo Kaspersky a PCMag. «Además de eso, se recomienda verificar si la plataforma subyacente es compatible con Boot Guard y TPM, y validar si son compatibles con el nuevo firmware».

El proveedor de antivirus también recomienda mantener actualizado el firmware UEFI, lo que se puede hacer a través de actualizaciones de BIOS del fabricante de su placa base.

¿Te gusta lo que estás leyendo?

Matricularse en Vigilancia de seguridad boletín de noticias para nuestras principales historias de privacidad y seguridad directamente en su bandeja de entrada.

Este boletín puede contener publicidad, ofertas o enlaces de afiliados. Suscribirse a un boletín informativo indica su consentimiento a nuestros Términos de uso y Política de privacidad. Puede darse de baja de los boletines en cualquier momento.

function facebookPixelScript() { if (!facebookPixelLoaded) { facebookPixelLoaded = true; document.removeEventListener('scroll', facebookPixelScript); document.removeEventListener('mousemove', facebookPixelScript);

!function(f,b,e,v,n,t,s){if(f.fbq)return;n=f.fbq=function(){n.callMethod? n.callMethod.apply(n,arguments):n.queue.push(arguments)};if(!f._fbq)f._fbq=n; n.push=n;n.loaded=!0;n.version='2.0';n.queue=[];t=b.createElement(e);t.async=!0; t.src=v;s=b.getElementsByTagName(e)[0];s.parentNode.insertBefore(t,s)}(window, document,'script','//connect.facebook.net/en_US/fbevents.js');

fbq('init', '454758778052139'); fbq('track', "PageView"); } }