Una de las amenazas más agresivas de Internet se ha vuelto más cruel, con la capacidad de infectar una de las partes más críticas de cualquier computadora moderna.
Trickbot es una pieza de malware que se destaca por sus capacidades avanzadas. Su marco modular sobresale en la obtención de poderosos privilegios de administrador, extendiéndose rápidamente de un equipo a otro en redes y realizando un reconocimiento que identifica los equipos infectados que pertenecen a objetivos de alto valor. A menudo utiliza software fácilmente disponible como Mimikatz o exploits como EternalBlue robados de la Agencia de Seguridad Nacional.
Trickbot, que alguna vez fue un simple troyano de fraude bancario, a lo largo de los años se ha convertido en una plataforma de malware como servicio con todas las funciones. Los operadores de Trickbot venden el acceso a su gran cantidad de máquinas infectadas a otros delincuentes, que utilizan la botnet para difundir troyanos bancarios, ransomware y una gran cantidad de software malicioso. En lugar de tener que pasar por la molestia de atrapar a las víctimas ellos mismos, los clientes tienen un grupo de computadoras listas para usar que ejecutarán su software criminal.
El primer eslabón de la cadena de seguridad
Ahora, Trickbot ha adquirido un nuevo poder: la capacidad de modificar la UEFI de una computadora. Corto para Interfase Extensible de Firmware Unificado, UEFI es el software que une el firmware del dispositivo de una computadora con su sistema operativo. Como la primera pieza de software que se ejecuta cuando se enciende prácticamente cualquier máquina moderna, es el primer eslabón de la cadena de seguridad. Debido a que UEFI reside en un chip flash en la placa base, las infecciones son difíciles de detectar y eliminar.
De acuerdo a resultados de la investigación publicados el jueves, Trickbot se ha actualizado para incorporar un controlador ofuscado para RWTodo, una herramienta lista para usar que la gente usa para escribir firmware en prácticamente cualquier dispositivo.
Por el momento, los investigadores han detectado a Trickbot usando la herramienta solo para probar si una máquina infectada está protegida contra cambios no autorizados en la UEFI. Pero con una sola línea de código, el malware podría modificarse para infectar o borrar por completo la parte crítica del firmware.
“Esta actividad prepara el escenario para que los operadores de TrickBot realicen medidas más activas, como la instalación de implantes de firmware y puertas traseras o la destrucción (bloqueo) de un dispositivo específico”, afirmó la publicación del jueves publicada conjuntamente por las firmas de seguridad AdvIntel y Eclypsium. “Es muy posible que los actores de amenazas ya estén explotando estas vulnerabilidades contra objetivos de alto valor”.
Raro por ahora
Hasta ahora, solo ha habido dos casos documentados de malware del mundo real que infectaron la UEFI. El primero, descubierto hace dos años por el proveedor de seguridad ESET, fue realizado por Fancy Bear, uno de los grupos de piratas informáticos más avanzados del mundo y una rama del gobierno ruso. Al reutilizar una herramienta antirrobo legítima conocida como LoJack, los piratas informáticos pudieron modificar el firmware UEFI para que informara a los servidores de Fancy Bear en lugar de a los que pertenecen a LoJack.
El segundo lote de infecciones UEFI del mundo real fue descubierto hace solo dos meses por la empresa de seguridad Kaspersky Lab con sede en Moscú. Los investigadores de la compañía encontraron el firmware malicioso en dos computadoras, las cuales pertenecían a figuras diplomáticas ubicadas en Asia. Las infecciones plantaron un archivo malicioso en la carpeta de inicio de una computadora para que se ejecutara cada vez que la computadora se iniciara.
Los chips flash residentes en la placa base que almacenan la UEFI tienen mecanismos de control de acceso que se pueden bloquear durante el proceso de arranque para evitar cambios de firmware no autorizados. A menudo, sin embargo, estas protecciones están desactivadas, mal configuradas o obstaculizadas por vulnerabilidades.
Infecciones UEFI a escala
Por el momento, los investigadores han visto a Trickbot usando sus capacidades de escritura UEFI recién adquiridas para probar si las protecciones están en su lugar. La presunción es que los operadores de malware están compilando una lista de máquinas que son vulnerables a tales ataques. Luego, los operadores podrían vender el acceso a esas máquinas. Los clientes que impulsan el ransomware podrían usar la lista para sobrescribir la UEFI y hacer que una gran cantidad de máquinas no puedan arrancar. Los clientes de Trickbot con intención de espionaje podrían usar la lista para instalar puertas traseras difíciles de detectar en las PC en redes de alto valor.
La adopción de Trickbot del código de escritura UEFI amenaza con hacer que tales ataques se generalicen. En lugar de ser el dominio de grupos avanzados de amenazas persistentes que generalmente son financiados por estados nacionales, el acceso a computadoras vulnerables a UEFI podría alquilarse a los mismos delincuentes de nivel inferior que ahora usan Trickbot para otros tipos de ataques de malware.
“La diferencia aquí es que el enfoque modular automatizado, la infraestructura robusta y las capacidades de implementación masiva rápida de TrickBot aportan un nuevo nivel de escala a esta tendencia”, escribieron los investigadores de AdvIntel y Eclypsium. “Todas las piezas están ahora en su lugar para campañas destructivas o de espionaje a gran escala que pueden apuntar a verticales enteras o partes de la infraestructura crítica”.