HardZone – Ni el chip de BIOS de tu placa base es seguro: así es MoonBounce

Hablar de virus parece la cantinela de cada día desde hace unos años, pero si estos virus son referentes a nuestros ordenadores la cosa cambia un poco. Tenemos multitud de peligros constantes que buscan infectar nuestro PC, y según un nuevo informe de Kaspersky a través de su blog han detectado un nuevo virus procedente de un grupo chino que se instalaría en nuestra BIOS siendo así muy difícil de eliminarlo. MoonBounce, así se llama la nueva amenaza que pone en jaque nuestras placas base.

Kaspersky alerta de un aumento de malware tipo firmware desde hace 4 años a fecha de hoy, el incremento de este tipo de virus que se alojan en la Firmware UEFI (Unified Extensible Firmware Interface). Estos virus en cuestión atacan directamente implementando el código malicioso por el BUS SPI (Serial Peripheral Interface) que es el encargado de la transferencia de datos entre los circuitos integrados en el equipo.

MoonBounce: el malware que es difícil de eliminar

El nuevo malware denominado MoonBouce al contrario de otros virus más comunes que se instalan en el disco duro de los equipos infectando la unidad y archivos que allí se encuentran, este se hace fuerte en el chip de la BIOS, más concretamente en la memoria del SPI de nuestra placa base. Esto provoca que aun detectando el virus, un formateo y eliminación de nuestro disco duro/archivos no surta efecto, dejando que el virus en cuestión siga perdurando en el tiempo siendo inmune a prácticamente todo.

Según declaraciones propias de la compañía de antivirus Kaspersky a través de su blog SecureList:

«…La fuente de la infección comienza con un conjunto de ganchos que interceptan la ejecución de varias funciones en la tabla de servicios de arranque de UEFI…»

«…establece ganchos adicionales en los componentes posteriores de la cadena de arranque, a saber, el cargador de Windows…»

Estos ganchos a posterior se utilizan para realizar el desvío de llamadas de funciones al shellcode malicioso, que agregaron al CORE_DXE, como detallan los investigadores de la compañía de antivirus en su blog.

Procedencia e infecciones recientes de MoonBounce

Por el momento, que no cunda el pánico. Este tipo de malware aunque no es nuevo que se instalen en la EUFI, si es cierto que es más sofisticado que los anteriores encontraros.

Este nuevo malware, según informaciones parece proceder de un grupo llamado APT41. Gran parte del trabajo de investigación por parte de la compañía al detectar un nuevo virus de este tipo, es tratar de crear una trazabilidad de este, vamos a seguir la pista hasta donde salió y según apuntan los investigadores, todo apunta al grupo llamado APT41 que está estrechamente vinculado al gobierno chino.

Hasta el momento, este nuevo virus solo ha sido detectado en un equipo concreto de una empresa de una organización que controla varias empresas que se ocupan del transporte tecnológico.

A falta de conocer más detalles, no hace falta crear alarma y recordamos que tanto para este tipo de malware como para virus más comunes, es importante tener siempre actualizado nuestro equipo, incluida la BIOS de nuestro PC para evitar así ser blanco de este tipo de ataques, sin que lo sepamos.

The post Ni el chip de BIOS de tu placa base es seguro: así es MoonBounce appeared first on HardZone.