Bootkitty es el nombre que le dieron los investigadores de seguridad de ESET a un proyecto de desarrollo malicioso. El primer bootkit UEFI específico para sistemas Linux.

Este tipo de malware es uno de los más peligrosos ya que está diseñado para El proceso de inicio de una computadora infectadacargado antes que el sistema operativo. Esto le permite evadir las herramientas de seguridad instaladas a nivel del sistema, modificar sus componentes e inyectar código malicioso sin riesgo de detección.

Bootkitty, el primer malware UEFI dirigido a Linux

este desarrollo «Esta es una evolución significativa en el panorama de amenazas del bootkit UEFI».dijeron desde ESET. Esto a pesar de que es un tipo de malware que sólo afecta a determinadas versiones y configuraciones de distribuciones GNU/Linux (por ejemplo, Ubuntu) y no es una amenaza en toda regla que se materialice en ataques reales.

Pero este es el primero en sistemas Linux y el primer caso de bootkit UEFI de Linux. Capacidad para omitir la verificación de la firma del kernel y precargar componentes maliciosos durante el inicio del sistema.. La empresa de seguridad descubrió esto después de examinar un archivo sospechoso (bootkit.efi) subido a VirusTotal a principios de este mes.

Luego del análisis, ESET confirmó su innovación, aunque se cree que aún se encuentra en una etapa temprana de desarrollo debido a sus limitaciones y falta de refinamiento. Bootkitty se basa en un certificado autofirmado y, por lo tanto, no se puede instalar en sistemas con el arranque seguro habilitado. También tiene funciones no utilizadas y maneja mal la compatibilidad de la versión del kernel, mientras que las limitaciones de su código a versiones específicas de GRUB y kernel lo hacen inadecuado para una implementación generalizada.

Aún así, es muy peligroso. El descubrimiento de este tipo de malware ilustra cómo operan los atacantes Desarrollando malware para Linux que antes estaba limitado a Windows. Uno de los últimos kits de arranque UEFI para Windows, «BlackLotus», incluso puede omitir el arranque seguro de Windows. Este es un kit de arranque UEFI implementado en el firmware de un dispositivo informático que permite un control total sobre el proceso de arranque del sistema operativo, lo que permite deshabilitar los mecanismos de seguridad a nivel del sistema operativo e implementar cargas útiles arbitrarias durante el arranque con privilegios de administrador.

Dejando a un lado el impacto limitado de Bootkitty, BlackLotus es un buen ejemplo de lo que Linux podría llegar a ser eventualmente. Esto confirma la adopción generalizada de sistemas libres, especialmente entre las empresas, que no ha pasado desapercibida para los ciberdelincuentes.