MoonBounce, nuevo malware UEFI suelto
UEFI, abreviatura de Interfaz de firmware extensible unificada, es simplemente un componente del sistema que conecta el sistema operativo con el resto del firmware y los dispositivos del sistema. Este es un componente de bajo nivel, que no se borra/sobrescribe en caso de formatear su disco duro o reinstalar su sistema operativo. Y es por eso que los ciberdelincuentes están tan interesados en él: el desarrollo del malware UEFI les permite ganar persistencia en un dispositivo comprometido, escondiéndose profundamente en los componentes del sistema. Incluso si la víctima intenta reinstalar su sistema operativo, no podrá eliminar el módulo malicioso. La última pieza de malware UEFI que se encuentra en el malware MoonBounce salvaje: se une a las filas de varios otros implantes, que tienen la capacidad de residir dentro de UEFI.
El firmware UEFI generalmente se almacena en el chip de almacenamiento de interfaz periférica en serie (SPI) en las placas base de la computadora. Para que se vea comprometido, los atacantes deberán introducir una actualización de firmware maliciosa, que entregaría el código malicioso al chip SPI.
¿Por qué el programa malicioso MoonBounce es especial?
Como ya se explicó, la capacidad única de este malware de residir en el firmware UEFI hace que sea mucho más difícil de identificar y eliminar. Pero esta propiedad también le otorga muchas otras ventajas. Para empezar, no necesita ejecutarse al iniciar el sistema como la mayoría de los programas maliciosos modernos; en cambio, puede funcionar independientemente del sistema operativo.
Por supuesto, debido a lo sigiloso que es MoonBounce Malware, sus características son bastante limitadas. Desafortunadamente, su capacidad para almacenar sus datos en el firmware UEFI y operar desde la memoria del sistema lo convierte en una amenaza muy difícil de manejar. Parece que su objetivo principal es permitir que los atacantes implementen malware adicional en los dispositivos infectados, al igual que un Trojan Dropper.
Parece que a las víctimas afectadas por MoonBounce Malware se les extrajeron datos confidenciales de sus dispositivos; es probable que el espionaje industrial sea el objetivo principal de esta campaña específica. Según los investigadores de malware, la campaña MoonBounce parece muy similar a las campañas anteriores realizadas por APT41, un actor de amenazas chino.