Durante años, algunas placas base Gigabyte y Asus llevaban malware UEFI

Durante años, algunas placas base Gigabyte y Asus llevaban malware UEFI

InformáticaPlacas base

Esta semana, los investigadores de Kaspersky revelaron un nuevo rootkit de firmware apodado “CosmicStrand”, que se cree que es obra de un grupo desconocido de actores maliciosos chinos

Los investigadores explican que el rootkit fue descubierto en imágenes de firmware de varias placas base de Asus y Gigabyte equipadas con un chipset Intel H81, uno de los chipsets más longevos de la era Haswell que finalmente fue descatalogado en 2020.

Dado que el firmware UEFI es la primera pieza de código que se ejecuta al encender un ordenador, esto hace que CosmicStrand sea especialmente difícil de eliminar en comparación con otros tipos de malware. Los rootkits de firmware también son más difíciles de detectar y allanan el camino para que los hackers instalen malware adicional en un sistema objetivo.

Limitarse a borrar el almacenamiento de su PC no eliminará la infección, como tampoco lo hará sustituir los dispositivos de almacenamiento por completo. UEFI es esencialmente un pequeño sistema operativo que vive dentro de un chip de memoria no volátil, normalmente soldado en la placa base. Esto significa que la eliminación de CosmicStrand requiere herramientas especiales para reimaginar el chip flash mientras el PC está apagado. Cualquier otra cosa dejaría el ordenador en un estado infectado.

Hasta ahora, parece que sólo se han visto comprometidos los sistemas Windows de países como Rusia, China, Irán y Vietnam. Sin embargo, el implante UEFI se ha utilizado en la naturaleza desde finales de 2016, lo que plantea la posibilidad de que este tipo de infección sea más común de lo que se suponía.

Ya en 2017, la empresa de seguridad Qihoo360 descubrió lo que podría haber sido una variante temprana de CosmicStrand. En años más recientes, los investigadores encontraron otros rootkits UEFI como MosaicRegressor, FinSpy, ESpecter y MoonBounce.

En cuanto a CosmicStrand, es un malware muy potente que tiene un tamaño inferior a 100 kilobytes. No se sabe mucho sobre cómo llegó a los sistemas objetivo, pero su funcionamiento es sencillo. En primer lugar, infecta el proceso de arranque estableciendo los llamados “ganchos” en ciertos puntos del flujo de ejecución, añadiendo así la funcionalidad que el atacante necesita para modificar el cargador del kernel de Windows antes de que se ejecute.

A partir de ahí, los atacantes pueden instalar otro gancho en forma de función en el kernel de Windows que se llama en un proceso de arranque posterior. Esta función despliega un shellcode en la memoria que puede contactar con un servidor de comando y control y descargar malware adicional en el PC infectado.

CosmicStrand también puede desactivar las protecciones del kernel como PatchGuard (conocida como Microsoft Kernel Patch Protection), que es una función de seguridad crucial de Windows. También hay algunas similitudes en términos de patrones de código entre CosmicStrand y el malware relacionado con la red de bots MyKings, que se ha utilizado para desplegar criptomineros en los ordenadores de las víctimas.

A los investigadores de Kaspersky les preocupa que CosmicStrand pueda ser uno de los muchos rootkits de firmware que han conseguido permanecer ocultos durante años. Señalan que “los múltiples rootkits descubiertos hasta ahora evidencian un punto ciego en nuestra industria que debe ser abordado más pronto que tarde”.

Por cierto, según dicen solo los sistemas Windows de países como Rusia, China, Irán y Vietnam han sido comprometidos, y sospechan de un grupo desconocido de actores maliciosos chinos ¿Seguro? ¿No pueden ser americanos? Porque creo que tienen bastante más enemistad con esos países que los chinos



Te puede interesar...


Diferencias entre iluminación RGB y ARGB (DRGB)

AMD libera AGESA v1.1.9.0 que traerá mejoras a las BIOS de las placas AM4

AMD identifica y soluciona el problema de conectividad USB entre plataformas con una actualización de AGESA

Cómo hacer el Flashback BIOS en una placa MSI

Análisis de la placa MSI MAG X570 Tomahawk WiFi: una de las mejores placas X570 por 200 euros

¿Qué es UEFI con CSM en el modo de arranque de la placa base?

Los diferentes tamaños de placas base que existen

Cómo saber el modelo de nuestra placa base en 10 segundos y sin instalar nada
Fuente: este post proviene de WikiVersus, donde puedes consultar el contenido original.
¿Vulnera este post tus derechos? Pincha aquí.
Creado:
¿Qué te ha parecido esta idea?

Esta idea proviene de:

Y estas son sus últimas ideas publicadas:

¿Qué es el proceso trimming de una unidad SSD? El trim o trimming de una unidad SSD es un proceso que ayuda a mantener el rendimiento de una unidad de estado sólido a lo largo del tiempo. El trim o r ...

Etiquetas:

Recomendamos