28 de noviembre de 2022

Ten sumamente precaución, un nuevo malware indetectable y que no se borra al formatear

BlackLotus es un nuevo malware de tipo UEFI que acaba de ponerse a la venta en foros especializados de piratas informáticos. El malware de tipo UEFI es diferente al que podemos encontrarnos en Windows. Estas amenazas no se han diseñado para tomar el control de un sistema operativo como tal, sino que están pensadas para infectar la BIOS UEFI del ordenador, y poder actuar directamente en la RAM desde allí.

Al no estar infectado Windows como tal, los programas de seguridad no son capaces de detectar este malware. Y, mientras tanto, él es capaz de controlar, por completo, todos los aspectos del PC. Cuando encendemos el ordenador, y carga la BIOS, el malware arranca directamente y se queda ejecutándose en la memoria RAM. Desde ella tiene el control total sobre todos los componentes de seguridad de Windows, como el Hypervisor-Protected Code Integrity (HVCI), Windows Defender, e incluso el control de cuentas UAC. Tiene también muchas funciones para evitar ser detectado, como un escudo anti-máquinas virtuales, ofuscación de código, y bloqueo de análisis. Además, consigue ejecutarse en Windows con permisos SYSTEM, por lo que ningún antivirus será capaz ni siquiera de verlo de lejos.

-Un malware muy complejo, y a la vez caro

Aquellos que se quieran hacer con una copia de este malware tendrán que pagar ni más ni menos que 5000 dólares. Un precio muy exagerado teniendo en cuenta que, aunque es una excelente puerta trasera para otro malware, por sí mismo no hace gran cosa. Eso sí, también comenta que las nuevas compilaciones del malware costarán ‘solo’ 200 dólares.

Es muy complicado proteger los ordenadores frente a esta amenaza. Lo primero que debemos tener en cuenta es que nuestra placa base aún está en mantenimiento y reciba nuevas versiones del firmware. Además, también es necesario que el fabricante actualice el bootloader para proteger el sistema de la vulnerabilidad que usa el pirata, algo que tampoco es fácil puesto que existen cientos de bootloaders.

Por último, aunque es muy complicado sospechar que estemos infectados, si tenemos sospechas o indicios, y queremos asegurarnos de eliminar la amenaza, lo que debemos hacer es volver a flashear la BIOS UEFI en la placa base. Un proceso que no es apto para todo el mundo.

De momento no se sabe si el malware está completo o le faltan algunos módulos. Y, para averiguarlo, la única forma es hacerse con una copia del mismo y ejecutarla en un laboratorio, algo que, por ahora, parece complicado.

-El malware para UEFI: una nueva amenaza que hay que vigilar

El malware para UEFI existe desde hace muchos años. Sin embargo, esta técnica estaba limitada principalmente a grupos muy reducidos y avanzados, como los gobiernos o empresas de espionaje muy avanzadas (NSA o APT). Sin embargo, como era de esperar, tarde o temprano esta técnica ha empezado a utilizarse por parte de otros grupos de piratas informáticos, como Trickbot.

Ahora, viendo como otros piratas pueden crear sus nuevas piezas de malware con relativa facilidad, y que se venden a un precio más que aceptable al mejor postor, este hecho se vuelve mucho más preocupante. Por tanto, es necesario extremar, más que nunca, las precauciones.