UEFI: crece el malware atacándolo. El caso MoonBounce

Investigadores de kaspersky recientemente descubrieron uno nuevo malware que no se puede eliminar ni siquiera formatear o reemplazar discos duros o SSD.

Qué lo hace único Rebote Lunar, así se ha denominado a la nueva amenaza, es que el malware no ataca la partición del sistema EFI donde reside el gestor de arranque, sino que apunta a la memoria. Flash SPI presente en la placa base (hablamos de ello cuando describimos el procedimiento que le permite violar sistemas protegidos con BitLocker que no usa el PIN de prearranque).

no como los otros kit de arranque, por lo tanto, para deshacerse de una infección de MoonBounce no basta con borrar el contenido del disco o reemplazarlo con otra unidad porque el código malicioso permanecerá en la memoria SPI hasta que se sobrescriba con un procedimiento de brillante bastante complejo o reemplazando la placa base.

MoonBounce es el tercer bootkit después lojax mi MosaicRegresor que ataca UEFA directamente y se ejecuta en la memoria SPI.

En los últimos meses, el número de este tipo de amenazas ha crecido significativamente, lo que pone de manifiesto cómo los ciberdelincuentes han identificado tácticas efectivas para mantenerse. bajo el radar y así evitar la detección de amenazas por parte de todas las principales herramientas de protección del sistema.

En particular, los atacantes habrían utilizado MoonBounce para mantener siempre activa una "segunda puerta de acceso" en los sistemas infectados.

El consejo es actualizar UEFI regularmente y verificar que la tecnología Protector de arranque, donde esté disponible, está habilitado. "También es útil asegurarse de haber habilitado la compatibilidad con TPM en su máquina.", el chip TPM 2.0 se ha convertido en un requisito previo para la instalación de ventanas 11. Este y otros requisitos se pueden omitir, pero Microsoft no puede garantizar que recibirá actualizaciones, incluidas actualizaciones de seguridad, a través de Windows Update.