Malware CosmicStrand encontrado en placas base ASUS y Gigabyte

Los investigadores de seguridad del fabricante de antivirus Kaspersky han descubierto un nuevo rootkit de firmware UEFI denominado "CosmicStrand" que ha estado infectando sistemas con placas base Asus y Gigabyte.

Para los inexpertos, el firmware UEFI (Interfaz de firmware extensible unificada) tiene la tarea de iniciar las computadoras con Windows, incluida la carga del sistema operativo, incluso antes de cualquier medida de seguridad del sistema.

Como resultado, el malware que se ha colocado en la imagen del firmware UEFI es particularmente difícil de detectar, lo que dificulta su eliminación realizando una reinstalación limpia del sistema operativo o incluso reemplazando la unidad de almacenamiento.

Si bien los investigadores no pudieron determinar cómo se infectaron inicialmente las máquinas víctimas, un análisis de su hardware permitió a los expertos descubrir qué dispositivos pueden ser infectados por CosmicStrand.

Encontraron el rootkit ubicado en las imágenes de firmware de las placas base ASUS y Gigabyte más antiguas, que están asociadas con el hardware que usa el chipset H81 vendido entre 2013 y 2015. Esto sugiere que puede existir una vulnerabilidad común que permitió a los atacantes inyectar su rootkit en el firmware. imagen.

“En estas imágenes de firmware, se han introducido modificaciones en el controlador CSMCORE DXE, cuyo punto de entrada se ha parcheado para redirigir al código agregado en la sección .reloc. Este código, ejecutado durante el inicio del sistema, desencadena una larga cadena de ejecución que da como resultado la descarga y el despliegue de un componente malicioso dentro de Windows ", se lee en el análisis publicado por los expertos.

"Al observar las diversas imágenes de firmware que pudimos obtener, evaluamos que las modificaciones pueden haberse realizado con un parche automático. De ser así, se seguiría que los atacantes tuvieron acceso previo al ordenador de la víctima para extraer, modificar y sobrescribir el firmware de la placa base".

Echa un vistazo a Kaspersky en profundidad Artículo de lista segura que describe cómo los actores de amenazas entregan la carga útil maliciosa durante el arranque:

El flujo de trabajo consiste en establecer ganchos en sucesión, lo que permite que el código malicioso persista hasta después de que se haya iniciado el sistema operativo. Los pasos involucrados son:

  • El firmware infectado inicial arranca toda la cadena.
  • El malware configura un gancho malicioso en el administrador de arranque, lo que le permite modificar el cargador del kernel de Windows antes de que se ejecute.
  • Al manipular el cargador del sistema operativo, los atacantes pueden configurar otro gancho en una función del kernel de Windows.
  • Cuando esa función se llama más tarde durante el procedimiento de inicio normal del sistema operativo, el malware toma el control del flujo de ejecución por última vez.
  • Despliega un shellcode en la memoria y se comunica con el servidor C2 para recuperar la carga útil maliciosa real para ejecutarla en la máquina de la víctima.

Si bien Kaspersky no puede determinar cómo terminó el rootkit en las máquinas infectadas en primer lugar, algunos usuarios informaron que recibieron dispositivos comprometidos después de realizar un pedido a un revendedor de segunda mano.

Según los investigadores, el rootkit de firmware UEFI se usó principalmente para atacar a personas privadas en China, Vietnam, Irán y Rusia sin ningún vínculo con ninguna organización o industria vertical.

Además, la empresa rusa de antivirus ha vinculado a CosmicStrand con un actor de habla china en función de las similitudes observadas en una botnet anterior llamada "MyKings" debido a sus patrones de código.

“El aspecto más sorprendente de este informe es que este implante UEFI parece haber sido utilizado desde fines de 2016, mucho antes de que los ataques UEFI comenzaran a describirse públicamente. Este descubrimiento plantea una pregunta final: si esto es lo que los atacantes estaban usando en ese entonces, ¿qué están usando? Este Dia? " lee el análisis.

En 2017, una variante anterior del malware fue visto por primera vez por la empresa de seguridad china Qihoo360, que lo nombró Troyano Spy Shadow. En los últimos años, los investigadores han encontrado rootkits UEFI adicionales como MosaicRegressor, FinSpy, ESpecter y MoonBounce.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Ver más

  • Responsable: Susana Natividad Gomez.
  • Finalidad:  Moderar los comentarios.
  • Legitimación:  Por consentimiento del interesado.
  • Destinatarios y encargados de tratamiento:  No se ceden o comunican datos a terceros para prestar este servicio.
  • Derechos: Acceder, rectificar y suprimir los datos.
  • Información Adicional: Puede consultar la información detallada en la Política de Privacidad.

Subir
Utilizamos cookies para una mejor experiencia. Al utilizar nuestro sitio web, usted acepta todas las cookies de acuerdo con nuestra Política de Cookies.    Configurar y más información
Privacidad