El malware que puede sobrevivir a las reinstalaciones del sistema operativo vuelve a atacar, probablemente para espionaje cibernético

Un nuevo malware una cepa que puede sobrevivir a las reinstalaciones del sistema operativo fue detectada escondida en secreto en una computadora el año pasado, dice el proveedor de antivirus kaspersky.

La empresa descubierto el malware basado en Windows la primavera pasada ejecutándose en una sola computadora. No está claro cómo el código malicioso infectó el sistema. Pero el malware fue diseñado para ejecutarse en la computadora UEFA firmware, que ayuda a arrancar el sistema.

El malware, denominado rebote Lunar, es particularmente aterrador porque se instala en la memoria flash SPI de la placa base, en lugar de en la unidad de almacenamiento de la computadora. Por lo tanto, el malware puede persistir incluso si reinstala el sistema operativo de la computadora o reemplaza el almacenamiento.

«Además, debido a que el código se encuentra fuera del disco duro, la actividad de estos bootkits prácticamente no es detectada por la mayoría de las soluciones de seguridad, a menos que tengan una función que escanee específicamente esta parte del dispositivo», dijo Kaspersky.

El descubrimiento marca la tercera vez que la comunidad de seguridad se encuentra con malware basado en UEFI diseñado para persistir en la memoria flash de una computadora. Los dos anteriores incluyen Lojax, que infectó la computadora de una víctima en 2018, y Regresor de mosaico, que se encontró en máquinas pertenecientes a dos víctimas en 2020.

La nueva cepa MoonBounce fue diseñada para capturar cargas útiles de malware adicionales para instalarlas en la computadora de la víctima. Pero según Kaspersky, MoonBounce es aún más avanzado y sigiloso porque puede usar un componente central «anteriormente benigno» en el firmware de la placa base para ayudar a implementar malware.

«La cadena de infección en sí no deja rastros en el disco duro, ya que sus componentes operan solo en la memoria, lo que facilita un ataque sin archivos con una huella pequeña», agregó la compañía.

Kaspersky no nombró al propietario de la computadora infectada, pero la compañía descubrió evidencia de que el código malicioso es obra de un grupo patrocinado por el estado chino denominado APT41, que es conocido por el espionaje cibernético. En 2020, el Departamento de Justicia acusó a cinco presuntos miembros del grupo de piratería de violar a más de 100 empresas, incluidos desarrolladores de software y videojuegos, para robar código fuente, datos de cuentas de clientes y otras propiedades intelectuales.

«MoonBounce solo se encontró en una máquina. Sin embargo, se encontraron otras muestras maliciosas afiliadas en las redes de varias otras víctimas», dijo la compañía, una posible señal de que el malware podría estar más extendido de lo que se sabe actualmente.

Kaspersky descubrió MoonBounce porque desarrolló un «analizador de firmware,quien puede aplastar a su programas antivirus para detectar la manipulación de UEFI. La forma más fácil de eliminar MoonBounce de una computadora no está del todo clara. Pero, en teoría, debería ser factible al actualizar la memoria SPI en la placa base.

«Eliminar el kit de arranque UEFI requiere sobrescribir el flash SPI con firmware de proveedor verificado y benigno, ya sea a través de una herramienta flash designada o mediante otros métodos proporcionados por el propio proveedor», dijo Kaspersky a PCMag. «Además de esto, es recomendable verificar si la plataforma subyacente admite protector de arranque y MTPy valide los compatibles con el nuevo firmware.

El proveedor de antivirus también recomienda mantener actualizado el firmware UEFI, lo que se puede hacer a través de BIOS actualizaciones del fabricante de su placa base.