Los investigadores de seguridad de Kaspersky dijeron el jueves que habían descubierto un nuevo bootkit que puede infectar el firmware UEFI de una computadora.
Lo que hace que MoonBounce , el nombre que le dieron al bootkit, sea especial es el hecho de que el malware no se entierra ni se esconde dentro de una sección del disco duro llamada ESP (EFI System Partition), donde suele residir algún código UEFI , sino que infecta la memoria de fallas SPI que se encuentra en la placa base.
Esto significa que, a diferencia de bootkits similares, los defensores no pueden reinstalar el sistema operativo y reemplazar el disco duro, ya que el bootkit mejorará en el dispositivo construido hasta que se vuelva a actualizar la memoria SPI (un proceso muy complejo) o la placa base. es remplazado.
Según Kaspersky, MoonBounce marca el tercer bootkit UEFI que han visto hasta ahora que puede infectar y vivir dentro de la memoria SPI, siguiendo casos anteriores como LoJax y MosaicRegressor .
Además, el descubrimiento de MoonBounce también se produce después de que los investigadores también han encontrado kits de arranque UEFI adicionales en los últimos meses, como ESPectre , el kit de arranque UEFI de FinSpy y otros , lo que ha llevado al equipo de Kaspersky a concluir que lo que alguna vez se pensó inalcanzable después del lanzamiento de UEFI estándar se ha convertido gradualmente en la norma.
MoonBounce vinculado al APT41 de China
En cuanto a MoonBounce, los investigadores dijeron que el bootkit se había utilizado como una forma de mantener el acceso a un host establecido e implementar malware de segunda etapa para llevar a cabo varias operaciones.
Los investigadores dijeron que encontraron que MoonBounce se implementó solo una vez, en la red de una empresa de servicios de transporte, y que, según el otro malware implementado en la red infectada, creen que el bootkit es obra de APT41, un grupo de ciberespionaje que se cree que trabaja en en nombre del gobierno chino.
Prueba de ello es el hecho de que tanto MoonBounce como el malware encontrado en la red de la víctima a menudo se comunicaban con la misma infraestructura de servidor, desde donde probablemente recibían instrucciones de APT31.
El único detalle que siguió siendo un misterio para el equipo de Kaspersky fue cómo se instaló el bootkit en primer lugar.
“Como medida de seguridad contra este ataque y otros similares, se recomienda actualizar el firmware UEFI periódicamente y verificar que BootGuard, cuando corresponda, esté habilitado. Del mismo modo, también es recomendable habilitar Trust Platform Modules, en caso de que el hardware correspondiente sea compatible con la máquina”, dijo el equipo de Kaspersky.