El equipo de seguridad de Microsoft ha descubierto un nuevo malware que aprovecha la interfaz Active Management Technology (AMT) Serial-over-LAN (SOL) de Intel como herramienta de transferencia de archivos.
Debido al funcionamiento de la tecnología AMT SOL de Intel, el tráfico de la interfaz SOL esquiva las redes del ordenador local, por lo que los cortafuegos o productos de seguridad instalados localmente no podrían detectar ni bloquear el malware mientras envía datos al exterior.
Intel AMT SOL expone una interfaz de red oculta
Al parecer, esto es posible debido a que Intel AMT SOL forma parte del Intel ME (Management Engine), un procesador separado integrado en las CPUs de Intel, y que ejecuta su propio sistema operativo.
Intel ME se ejecuta incluso cuando el procesador principal se encuentra apagado, y aunque esta función parezca rara, Intel la incorporó con el fin de suministrar capacidades de administración remota a las empresas que gestionan grandes redes de cientos de ordenadores.
No obstante, la buena noticia es que la interfaz Intel AMT SOL viene desactivada por defecto en todas las CPUs de Intel, de modo que el dueño del PC o el administrador del sistema local tiene que habilitar esta función manualmente. Sin embargo, Microsoft ha descubierto un malware creado por un grupo de ciber-espionaje que aprovecha la interfaz para robar datos de los ordenadores infectados.
Microsoft no desveló si los hackers, pertenecientes a un grupo conocido como PLATINUM, han encontrado una manera secreta de habilitar esta función en los equipos infectados, o si simplemente la encontraron activa y decidieron usarla.
Ante estos hechos, Microsoft dijo que fue capaz de identificar el funcionamiento del malware y lanzó una actualización para Windows Defender ATP con el fin de detectarlo antes de que obtenga acceso a la interfaz AMT SOL.
