Con frecuencia observamos como surgen nuevos malwares, unos con mayor impacto que otros, pero con un mismo propósito, aprovechar las debilidades de nuestros equipos y sacar el mayor provecho posible.
Entre ellos, destaca TrickBot. Este es un software malicioso muy peculiar, ya que se aprovecha de las vulnerabilidades de la UEFI para adueñarse del sistema de arranque de nuestros ordenadores. Situación que le da los hackers control total sobre nuestras máquinas
Pero, ¿qué es UEFI?
UEFI- Interfaz de firmware extensible unificada- es el primer programa que se ejecuta cuando encendemos nuestras computadoras. Su función es gestionar las configuraciones básicas y avanzadas de nuestro sistema. Esquema promovido por compañías como Intel, AMD, Microsoft y otras, para “superar limitaciones de la BIOS”.
Como puedes observar, es un factor esencial en el arranque de nuestros equipos. ¿Qué sucede aquí? Como ya mencionamos, piratas informáticos se están aprovechando de las debilidades de esta interfaz para tomar control de nuestra máquina.
Es tal su potencial que puede hacerse de nuestros credenciales tanto para ingresar a las máquinas como para las que manejamos en sitios web, correos electrónicos, entre otras aplicaciones. Realmente, es un software muy peligroso.
TrickBot evita que reinstalemos nuestro sistema operativo
Algunas veces cuando nos enfrentamos a esta clase de malwares, como última opción terminamos formateando nuestras computadoras. Pero, TrickBot se presenta un gran problema, ya que evita que reinstalemos nuestro sistema operativo. Incluso que reemplacemos unidades de almacenamiento interno, un disco duro, por ejemplo.
Las empresas de ciberseguridad AdvIntel y Eclypsium se han dado a la tarea de investigar el comportamiento de TrickBot. Estas organizaciones han manifestado que el malware se comporta “como una herramienta de reconocimiento en etapa”.
El software explora tu equipo hasta encontrar debilidades en el firmware UEFI, para leer, escribir y hasta borrarlo. Asimismo, han informado que los ataques se dirigen a plataformas Intel.
El informe indica que TrickBoot realiza consultas PCH para conocer el modelo que se ejecuta en el sistema bajo ataque, de modo de saber a qué plataforma se enfrenta.
De igual modo, el estudio muestra que este software usa fwexpl, herramienta de explotación de firmware, para leer y escribir datos de puertos IO de hardware y en las direcciones de memoria física.
Entonces, ¿cómo podemos contrarrestar un ataque de TrickBot?
Los investigadores recomiendan utilizar un “dispositivo de programación flash SPI” para leer el contenido de chip de memoria SPI, siempre y cuando el sistema esté apagado. Asimismo, aconsejan usar herramientas de código abierto para analizar nuestros equipos y determinar si la protección contra escritura del BIOS está habilitada o no. Aunado a ello, sugieren actualizar el firmware de nuestros equipos.
Sin embargo, son acciones que deben ejecutarse por un profesional debido a la complejidad del asunto. Inclusive, Jesse Michael, investigador principal de Eclypsium expresa que “determinar si un sistema se ha visto comprometido a nivel de firmware UEFI es un trabajo difícil”.
Para desgracia de las víctimas, aun después de pagar un rescate por la liberación del sistema, TrickBot puede seguir operando meticulosamente en sus máquinas. Además, no trabaja solo, tiene conexión con otros ciberdelicuentes, con los cuales puede llegar a compartir información valiosa. Sin duda, este es un malware desafiante y bastante complejo.
