Las amenazas a nivel de firmware tienen una importancia estratégica única para los atacantes
Un equipo combinado de expertos en seguridad de Advanced Intelligence y Eclypsium ha anunciado que el malware troyano Trickbot tiene ahora la capacidad de modificar la Interfaz de Firmware Extensible Unificada (UEFI - Unified Extensible Firmware Interface) de una computadora, la interfaz entre el firmware de la placa base de una computadora y el sistema operativo de la computadora, en este caso, Microsoft Windows.
Trickbot ha estado en las noticias últimamente debido a sus avanzadas capacidades. Tiene un diseño modular y se destaca por su capacidad para obtener capacidades administrativas en equipos infectados. Se cree que las entidades detrás de la creación del troyano son delincuentes en Rusia y Corea del Norte, y lo han utilizado para atacar empresas de telecomunicaciones, de atención médica, instituciones educativas e incluso operadores de infraestructura (con bastante frecuencia en forma de ransomware).
El troyano y sus diseñadores también han alcanzado cierto grado de fama durante el año pasado, ya que lograron superar un derribo por parte de un equipo combinado de expertos de Microsoft y una variedad de empresas de seguridad. Ahora, parece que el troyano se ha vuelto aún más sofisticado, capaz de integrarse en el firmware de la computadora. Este nuevo desarrollo se considera una seria amenaza debido a lo que puede hacer una vez instalado.
Cuando se inicia una computadora, la UEFI y el firmware funcionan juntos para activar el sistema operativo; si se ha incrustado un código malicioso en el firmware, puede cargar sus propios módulos de software o incluso modificar el sistema operativo a medida que se carga. Estos módulos pasarían desapercibidos por el software antivirus convencional y no serían superados, incluso si el disco duro se limpiara o reemplazara por completo.
El equipo de Eclypsium ha denominado a la nueva función "Trickboot" y sugiere que permite a sus creadores tomar el control tanto de computadoras individuales como de redes completas. Y como beneficio adicional, debido a que es modular, los desarrolladores pueden venderlo a usuarios con intenciones delictivas; todo lo que los compradores deben hacer es agregar código para que lo ejecute uno de los módulos existentes. Dicha funcionalidad podría dar a los grupos con recursos limitados el poder de crear estragos en la comunidad de usuarios.