El malware Trickbot ahora puede atacar la capa UEFI/BIOS

El temido malware TrickBot, al por suerte asestaron un duro golpe recientemente, sigue campando a sus anchas y atesora una nueva y temible característica que debe hacernos estar atentos a posibles ataques. Ahora, es capaz de atacar a más «bajo nivel», tanto como la capa BIOS/UEFI de nuestros equipos.

De modo que ahora, Trickbot es capaz de inyectr código malicioso en la capa UEFI o BIOS, lo que permite instalar amenazas como Bootkit, que aseguran la persistencia en el equipo, mediante la reinfección constante.

Esta nueva funcionalidad, que hemos denominado TrickBoot, hace uso de herramientas ya de dominio público, para comprobar los dispositivos en busca de vulnerabilidades conocidas que permitan a los atacantes ver, editar o eliminar el firmware UEFI/BIOS de un dispositivo.

Informe de AdvIntel/Eclypsium

Si no conoces a Trickbot, podemos presentarlo como un troyano bancario, conocido desde Octubre de 2016, que ha ido evolucionando constantemente con los años, obteniendo nuevas capacidades según dicta el modelo MaaS (malware-as-a-service).

Se le ha visto últimamente en combinación con sus amigos, el ransomware Emotet, Ryuk o también Conti.

TrickBoot, Trickbot irrumpe en la BIOS

Evidentemente, esto otorga casi plenos poderes a este malware para implantar bootkits de forma inadvertida. Estamos hablando de llegar a extremos tales como reinfectar el equipo tras replataformarlo, e incluso la opción de dejarlo inservible a nivel de hardware.

UEFI = Unified Extensible Firmware Interface. Un estándar que reemplaza al tradicional BIOS o Basic Input Outpiut System, como opción de interfaz de firmware para la comunicación entre el hardware y el sistema operativo, posibilitando que se realicen diagnóstico y reparación del equipo, sin necesidad de tener un sistema operativo.

No estamos ante el primer ataque de este tipo, es algo que se ha perseguido muchas veces y conseguido otras tantas. Para combatirlo, existen mecanismos como Secure Boot o Inicio seguro de Microsoft.

Esta nueva capacidad de Trickbot -observada a aprtir de Octubre de 2020- podría ser muy del interés de algunos países, aficionados a «fastidiar» a sus vecinos o competidores, así como de ciertos delicuentes a sueldo.

Lo que llevó a los investigadores a evaluar esta nueva capacidad, es que encontraron una nueva librería denominada PermaDll, lo que apuntaba a algo interesante.

Y es que TrickBoot ataca el chip flash denominado SPI, aprovechando el driver RwDrv.sys de la popular herramienta RWEverything, para interactuar con el citado chip y saber si el registro de control de BIOS está «desbloqueado».

Mitigación y defensa

Según sugieren algunos expertos, deberíamos establecer protección frente a escritura en la BIOS. La NSA ha publicado, por su parte, una guía de actuación para UEFI Secure Boot.

Hasta ahora, el citado módulo se cree solo se está usando en modo «reconocimiento», pero con una leve modificación esto podría cambiar y ser capaz de desencadenar ataques por sí mismo.