Descubren un malware escondido en la UEFI del ordenador, un tipo de ataque insólito

y muy difícil de Eliminar

La empresa Kaspersky ha encontrado varios ordenadores con un malware nuevo que coloniza la UEFI para esconderse del antivirus y poder infectar el ordenador una y otra vez. 

En el mundo de la ciberseguridad hay miles de ataques a diario, pero este tipo es una rareza. Se pueden contar con los dedos de una sola mano las veces que alguien ha conseguido atacar la UEFI de un ordenador, uno de los elementos sin los que el ordenador no puede funcionar. 

Los PC necesitan un sistema interno cuyo código contiene las instrucciones necesarias para realizar un arranque seguro y que ponga a punto la máquina para empezar a usarla. Esto es UEFI, la base más profunda del sistema operativo, sin la cual ni siquiera podríamos encender el dispositivo.  Los investigadores de la empresa de ciberseguridad Kaspersky aseguran en un informe haber encontrado en varios ordenadores de sus clientes este malware instalado en la UEFI. Infectar esta parte del software es realmente complicado, pero una vez se consigue es una pesadilla tratar de limpiar el ordenador para eliminar el virus. 

Desde la UEFI, el malware se refugia de cualquier antivirus. Desde ese punto, el malware está diseñado para lanzar un segundo virus que infecta el resto del ordenador, como el disco duro. Podemos resetear el ordenador todas las veces que haga falta, solo conseguiremos limpiar el disco duro, pero el virus sigue ahí al iniciar el ordenador y puede volver a atacar todo el sistema. 

Hablamos de ordenadores, pero los smartphones y demás dispositivos electrónicos funcionan igual y podrían verse afectados de la misma forma por este ataque. El malware en cuestión, según la información recopilada por Kaspersky, ha sido creado a raíz de una herramienta capaz de modificar la UEFI y que fue creada por Hacking Team años atrás, su nombre es VectorEDK. Este grupo de hackers terminó su actividad en 2015, al hacerse públicos sus correos internos y el código de sus herramientas. Con ese código habrían podido construir este virus nuevo.

Kaspersky aún no tiene evidencias de la autoría de este nuevo malware. Los investigadores sólo se atreven a apuntar a un nuevo grupo de hackers de procedencia asiática. Las sospechas se basan en que las víctimas son en su mayoría de esta región y parte del código del malware está escrito en chino o en coreano. Además, podrían haber utilizado Royal Road, una herramienta para crear documentos muy utilizada entre los delincuentes de Asia.

Que se conozca es la segunda vez que los investigadores de una empresa dan con algo similar. En 2018, ESET alertó de la presencia de un nuevo virus que actuaba de manera similar, refugiándose en el UEFI e infectando una y otra vez todo el ordenador. Esta nueva alarma supone un toque de atención para el sector de la ciberseguridad. Será necesario empezar a crear herramientas de detección y eliminación de malware para la UEFI.