Software

Malware de Hacking Team persiste en el PC aunque se reinstale el sistema operativo

Aún así se formatee el disco duro o se compre uno nuevo, el malware que afecta a sistemas operativos Windows se conserva en el BIOS.

Luego del inesperado ataque a Hacking Team y el filtrado de 400GB de información, se descubrió información en una presentación sobre un rootkit que puede instalarse en el BIOS de una computadora Windows con UEFI, el cual resiste a la reinstalación del sistema operativo e incluso al reemplazo del disco duro.

Ni siquiera formatear sirve para deshacerse del malware que instala el agente Sistema de Control Remoto (RCS, por sus siglas en inglés), proveído por Hacking Team para ser utilizado por los gobiernos, ya que el único medio confirmado para instalarse es con acceso físico a la computadora, pero no se descarta que pueda ser instalado remotamente, según informa la compañía de seguridad Trend Micro.

Como cada fabricante utiliza un BIOS diferente, la técnica y el producto son exclusivos. Por un lado, el rootkit funciona para los BIOS proveídos por Insyde BIOS, uno de los principales proveedores, ya que entre sus clientes figuran Acer, Dell, HP, Lenovo y Toshiba, de acuerdo con PC World. Además, el rootkit también funciona con BIOS producidos por American Megatrends, con sede en Estados Unidos.

La instalación del rootkit se realiza de la siguiente manera:

  1. Se reinicia la computadora en la capa UEFI del BIOS.
  2. Se extrae el firmware del BIOS.
  3. Se instala el rootkit en el firmware.
  4. Se reinstala el firmware del BIOS con el rootkit.

Para la instalación se requieren tres módulos, los cuales son obtenidos mediante una fuente externa, como una memoria USB. Uno de ellos (Ntfs.mod) permite la lectura y escritura en el NTFS; uno más (Rkloader.mod) para engancharse durante el arranque del sistema; y por último otro (dropper.mod) que se encarga de revisar que el rootkit esté instalado.

El uso de técnicas para infectar sistemas BIOS con UEFI no es nuevo, ya que Hacking Team estuvo investigando por años un método para lograrlo, hasta que en 2014 logró su cometido y hasta ahora el malware ha sido descubierto. Además, siendo los gobiernos sus principales clientes, al tener acceso a las computadoras personales podrían haber instalado el malware sin que se supiera.

Para evitar infecciones, los expertos de seguridad de Trend Micro recomiendan asegurarse de que Secure Flash de UEFI esté activado, actualizar el BIOS mediante una herramienta proveída por el fabricante de la computadora y establecer una contraseña para acceder al BIOS. Por otra parte, también es posible usar BIOS físicos con protección contra escritura.

Tags

Lo Último


Te recomendamos