En 2012, se demostró una nueva forma de bootkit. En lugar de apuntar a la máquina a través del BIOS o el registro de arranque maestro, Uno El kit de arranque ataca los sistemas Mac OS X infectando EFI, el paquete de firmware que inicia el proceso de arranque. A Segundo Un kit de arranque muy primitivo ataca máquinas con Windows 8 infectando Paquete de arranque UEFIPredecesor de la UEFI. Alrededor de 2013, un investigador demostró un kit de arranque UEFI más avanzado para Windows llamado barco de ensueño.
El primer caso real de un ataque dirigido a UEFI ocurrió en 2018 con el descubrimiento de un malware denominado LoJax. La nueva versión del software antirrobo legítimo conocido como LoJack fue creada por un grupo de hackers respaldado por el Kremlin y rastreada con nombres como Sednit, Fancy Bear y APT 28. El malware se instala de forma remota mediante una herramienta de malware que puede leer y sobrescribir partes de la memoria flash del firmware UEFI.
En 2020, los investigadores descubrieron un segundo ejemplo del mundo real de malware que ataca a UEFI. Cada vez que se reinicia un dispositivo infectado, su UEFI busca archivos maliciosos en la carpeta de inicio de Windows y, si no, los instala. Los investigadores de Kaspersky, el proveedor de seguridad que descubrió el malware, lo llamaron “MosaicRegressor”. Los investigadores aún no han determinado cómo podría infectarse una UEFI comprometida. Desde entonces, se han revelado varios bootkits UEFI nuevos. Se les rastrea con nombres que incluyen ESpecter, FinSpy y MoonBounce.
La necesidad es la madre de la invención.
En respuesta a la amenaza, Microsoft trabajó con los fabricantes de dispositivos para desarrollar Secure Boot, un estándar de la industria que utiliza firmas criptográficas para garantizar que el fabricante de la computadora confíe en cualquier software cargado al inicio. Secure Boot está diseñado para crear una cadena de confianza que evite que los atacantes reemplacen el firmware de arranque en cuestión con firmware malicioso. Si no se reconoce un enlace en la cadena de inicio, Secure Boot impedirá que el dispositivo se inicie.
