Un nuevo malware ha estado en los titulares en los últimos días. El rootkit, que ha sido identificado como Moonbounce, es un malware persistente que puede sobrevivir a los formatos de disco y las reinstalaciones del sistema operativo.

Moonbounce es un malware persistente que puede sobrevivir a los formatos de disco y las reinstalaciones del sistema operativo

Este no es un troyano o virus normal que afecta a Windows, es un kit de arranque sofisticado que se dirige al firmware de su placa base, United Extensible Firmware Interface, comúnmente abreviado como UEFI. Esto permite que el malware sobreviva a los cambios realizados en el disco duro o el sistema operativo. Su placa base tiene su propio chip de almacenamiento llamado memoria flash. Este flash SPI contiene el software necesario para iniciar y comunicarse con el resto del hardware.

Imagen cortesía de Pexels

Un informe de kaspersky dice que el malware Moonbounce fue creado por un grupo de hackers llamado APT41. CSOOnline informa que se sospecha que el grupo tiene vínculos con el gobierno chino. El notorio grupo de ciberespionaje también ha estado involucrado en campañas de ciberdelincuencia en todo el mundo durante una década. El fabricante ruso de antivirus señala que el bootkit de firmware se detectó por primera vez en la primavera de 2021 y que es más avanzado que los 2 programas maliciosos anteriores de este tipo, LoJax y MosaicRegressor. Dicho esto, el nuevo malware solo se ha encontrado una vez hasta ahora.

Nota: Muchas personas, e incluso los OEM, se refieren a la UEFI como BIOS, aunque son técnica y funcionalmente diferentes, este último es el término más popular ya que existe desde hace más tiempo. Llámelo como quiera, pero ambos términos se relacionan con la interfaz utilizada para acceder y modificar la configuración del firmware de la placa base.

¿Cómo accede Moonbounce a la UEFI?

Moonbounce apunta a CORE_DXE en el firmware y se ejecuta cuando se inicia la secuencia de arranque UEFI. Luego, el malware intercepta ciertas funciones para implantarse en el sistema operativo y llama a un servidor de comando y control. Esto luego da como resultado que una carga útil maliciosa se envíe de forma remota para neutralizar la seguridad del sistema.

El ataque tiene lugar cuando el malware modifica un componente del firmware. Los piratas informáticos pueden usarlo para espiar a los usuarios, archivar archivos, recopilar información de la red, etc. Curiosamente, el informe de Kaspersky menciona que no pudo rastrear la infección en el disco duro, lo que significa que se ejecutó en la memoria sin depender de los archivos.

Los rootkits UEFI pueden ser complicados de eliminar, ya que los programas antivirus son ineficaces fuera del sistema operativo, pero no es imposible eliminar dichas infecciones de la placa base.

¿Cómo prevenir los rootkits UEFI?

Hay algunas formas sencillas de prevenir el malware UEFI como Moonbounce, el primer paso es habilitar el Arranque seguro. ¿Podría ser esta la razón por la que Microsoft hizo del TPM 2.0 un requisito para Windows 11? Aquí está un video relevante donde un experto en seguridad de Microsoft describe la importancia de UEFI, Secure Boot, TPM, etc., y cómo son efectivos para combatir el malware. Agregar una contraseña para acceder a UEFI bloqueará las actualizaciones de firmware no autorizadas, lo que le brindará una capa adicional de protección. Si no había habilitado el arranque seguro o una contraseña, es decir, si todo sale mal, siempre puede volver a actualizar el UEFI para deshacerse del molesto malware. Sugerencia de cortesía: Reddit

Vaya al sitio web del fabricante de su placa base (o computadora portátil) y busque el modelo específico que tiene, verifique si tiene una versión actualizada que pueda flashear. Vuelva a verificar la información para ver si el modelo de la placa base coincide con el que se proporciona en el sitio web, porque actualizar el firmware incorrecto puede bloquear su sistema. También debe evitar el uso de programas de actualización de controladores y, en su lugar, confiar en las actualizaciones de Windows y en el sitio de su proveedor para mantener los controladores actualizados.

Por Deyanira