Incluso reemplazar el disco duro no eliminará este malware

January 25, 2022
EnNoticias Seguridad De Internet

Conclusiones clave

Los investigadores de seguridad han descubierto un malware único que infecta la memoria flash de la placa base.
El malware es difícil de eliminar y los investigadores aún no entienden cómo ingresa a la computadora en primer lugar.
El malware Bootkit seguirá evolucionando, advierten los investigadores.

Viejo disco duro de 3,5 pulgadas en un piso — John César Panelo / Getty Images

Desinfectar una computadora requiere algo de trabajo tal como está. Un nuevo malware hace que la tarea sea aún más engorrosa desde que los investigadores de seguridad lo descubrieron se incrusta tan profundamente en la computadora que probablemente tendrá que tirar la placa base para deshacerse de eso

Doblado Rebote Lunar por los detectives de seguridad de Kaspersky que lo descubrieron, el malware, técnicamente llamado bootkit, atraviesa más allá del disco duro y se entierra en el arranque de la interfaz de firmware extensible unificada (UEFI) de la computadora firmware.

"El ataque es muy sofisticado", bar tomer, Director de Investigación de Seguridad en

Incumplimiento seguro, le dijo a Lifewire por correo electrónico. "Una vez que la víctima está infectada, es muy persistente, ya que ni siquiera un formato de disco duro ayudará".

Nueva amenaza

El malware Bootkit es raro, pero no completamente nuevo, ya que Kaspersky mismo descubrió otros dos en los últimos años. Sin embargo, lo que hace que MoonBounce sea único es que infecta la memoria flash ubicada en la placa base, haciéndola impermeable al software antivirus y todos los demás medios habituales para eliminar el malware.

De hecho, los investigadores de Kaspersky señalan que los usuarios pueden reinstalar el sistema operativo y reemplazar el disco duro, pero el bootkit seguirá estando activado. la computadora infectada hasta que los usuarios vuelvan a actualizar la memoria flash infectada, lo que describen como "un proceso muy complejo", o reemplacen la placa base enteramente.

Montón de placas base de computadora — Imágenes de Manfred Rutz / Getty

Lo que hace que el malware sea aún más peligroso, agregó Bar, es que no tiene archivos, lo que significa que no depende de archivos. que los programas antivirus pueden marcar y no deja huella aparente en la computadora infectada, lo que hace que sea muy difícil rastro.

Según su análisis del malware, los investigadores de Kaspersky señalan que MoonBounce es el primer paso de un ataque de varias etapas. Los actores deshonestos detrás de MoonBounce usan el malware para establecer un punto de apoyo en la víctima. computadora, que creen que luego se puede usar para implementar amenazas adicionales para robar datos o implementar Secuestro de datos.

Sin embargo, la gracia salvadora es que los investigadores han encontrado solo una instancia del malware hasta ahora. "Sin embargo, es un conjunto de código muy sofisticado, lo cual es preocupante; por lo menos, presagia la probabilidad de otro malware avanzado en el futuro", tim helming, evangelista de seguridad con DominioHerramientas, advirtió Lifewire por correo electrónico.

teresa schachner, Consultor de Seguridad Cibernética en VPNBrains acordado. "Dado que MoonBounce es particularmente sigiloso, es posible que haya instancias adicionales de ataques MoonBounce que aún no se hayan descubierto".

Inocule su computadora

Los investigadores señalan que el malware se detectó solo porque los atacantes cometieron el error de usar los mismos servidores de comunicación (técnicamente conocidos como servidores de comando y control) como otro conocido programa malicioso

Sin embargo, Helming agregó que dado que no está claro cómo se produce la infección inicial, es prácticamente imposible dar instrucciones muy específicas sobre cómo evitar infectarse. Sin embargo, seguir las mejores prácticas de seguridad bien aceptadas es un buen comienzo.

"Si bien el malware en sí mismo avanza, los comportamientos básicos que el usuario promedio debe evitar para protegerse no han cambiado realmente. Es importante mantener el software actualizado, especialmente el software de seguridad. Evitar hacer clic en enlaces sospechosos sigue siendo una buena estrategia", tim erlin, VP de estrategia en cable trampa, sugirió a Lifewire por correo electrónico.

"... es posible que haya instancias adicionales de ataques MoonBounce que aún no se hayan descubierto".

Agregando a esa sugerencia, esteban puertas, evangelista de seguridad en Checkmarx, le dijo a Lifewire por correo electrónico que el usuario de escritorio promedio tiene que ir más allá de las herramientas antivirus tradicionales, que no pueden prevenir ataques sin archivos, como MoonBounce.

"Busque herramientas que puedan aprovechar el control de secuencias de comandos y la protección de la memoria, e intente utilizar aplicaciones de organizaciones que emplean metodologías de desarrollo de aplicaciones seguras y modernas, desde la parte inferior de la pila hasta la parte superior", Gates sugirió.

Pantalla de advertencia de malware detectado con código binario abstracto — Olemedia/Getty Images

Bar, por su parte, abogó por el uso de tecnologías, como Arranque seguro y TPM, para verificar que el firmware de arranque no se haya modificado como una técnica de mitigación efectiva contra el malware bootkit.

Schachner, en líneas similares, sugirió que la instalación de actualizaciones de firmware UEFI a medida que se publiquen ayudará los usuarios incorporan correcciones de seguridad que protegen mejor sus equipos contra amenazas emergentes como Rebote Lunar.

Además, también recomendó usar plataformas de seguridad que incorporen detección de amenazas de firmware. "Estas soluciones de seguridad permiten a los usuarios estar informados sobre posibles amenazas de firmware lo antes posible para que puedan abordarse de manera oportuna antes de que las amenazas se intensifiquen".