Los investigadores del equipo de ciberseguridad ruso Kaspersky descubrieron un nuevo tipo de malware UEFI.
Llamada MosaicRegressor, esta es solo la segunda cepa conocida de malware para UEFI. Infectar UEFI es realmente difícil, pero es un objetivo atractivo para los piratas informáticos, ya que proporciona acceso completo al sistema y es muy difícil de detectar y eliminar. Según se conoce, MosaicRegressor parece haber sido desarrollado por un individuo o grupo de china, o posiblemente una entidad estatal.
La infección se descubrió en solo dos computadoras, ambas pertenecientes a funcionarios diplomáticos en Asia. La cadena de exploits completa es larga y variada, lo que permite a los atacantes cargar varios módulos para controlar el sistema objetivo y robar datos.
Sin embargo, todo comienza con el cargador UEFI. En cada arranque, MosaicRegressor comprueba si su archivo malicioso “IntelUpdate.exe ” está en la carpeta de inicio de Windows. Si no, agrega el archivo. Esta es la puerta de entrada a todas las otras cosas desagradables que puede hacer MosaicRegressor. Ni siquiera se conoce el alcance total de las capacidades de la operación, ya que Kaspersky solo pudo capturar algunos de los módulos de malware. Sin embargo, el equipo ha confirmado que MosaicRegressor puede exfiltrar documentos de los sistemas infectados.
