Descubren un nuevo malware preinstalado en la UEFI
La UEFI, el sistema actual presente en la gran mayoría de pcs actuales tras sustituir al antiguo sistema de BIOS, es un pequeño sistema operativo almacenado en la propia placa base del PC encargado de iniciar el sistema y preparar todo el hardware para el inicio del sistema operativo que tengamos instalado.
La firma de antivirus Karspersky ha descubierto un malware que se preinstala en la UEFI y que permite infectar Windows de manera automática aunque se formatee el disco duro.
Su funcionamiento se basa en una imagen modificada de la UEFI que busca en el disco duro donde está instalado Windows si existe el archivo IntelUpdate.exe, este archivo integra un complejo programa de monitorización y espionaje que enlaza a varios servidores de la red de los atacantes. En el caso de que no exista el archivo, el propio malware de la UEFI lo copia al disco, por lo que no vale de nada eliminarlo o formatear el disco duro, incluso si cambiamos la unidad de almacenamiento, el malware volvería a instalar el programa malicioso.
Aunque son escasos, no es la primera vez que se detecta malware en UEFI
Por el momento, se ha descubierto este malware en equipos perteneciente a diplomáticos del continente asiático, por lo que parece un ataque muy dirigido y elaborado, ya que no hay que olvidar que requiere de un acceso físico, incluso a la propia placa base del portátil, para poder modificar el firmware chip, de hecho, no se sabe como los atacantes consiguieron modificar el firmware del chip donde se almacena la UEFI.
Ya en 2014, la firma de seguridad encontró un posible fallo de seguridad en los chips antirrobo preinstalados en muchos equipos, el chip, de Absolute Computrace, es un sistema de localización y desactivación remota de ordenadores portátiles en caso de robo, su funcionamiento realiza comunicaciones con el servidor de la compañía para poder comprobar su estado y desactivarlo en caso de robo. El problema se encuentra en que parece que alguien ha sido capaz de modificar este módulo para hacer que se comunique con servidores de los atacantes y afecte a la UEFI. La primera vez que se detectó fue en 2018 donde el grupo de hackers del gobierno ruso "Fancy Bear" consiguió modificar el firmware de Absolute Computrace para conectar con sus servidores.
Fin del Artículo. ¡Cuéntanos algo en los Comentarios!