Este malware infecta tu placa base y es casi imposible de eliminar

Aranzulla de Los Pobres

Los investigadores han descubierto malware que ha estado infectando en secreto sistemas con placas base Asus y Gigabyte durante al menos seis años.

Desde 2016, los piratas informáticos de habla china se han estado infiltrando en las máquinas con el malware CosmicStrand, según un informe de Bleeping Computer .

Un candado digital encriptado con multicapas de datos.

En particular, una vez que se ha distribuido el código malicioso, permanece en gran medida sin ser detectado en las imágenes de firmware de ciertas placas base. Este método particular de apuntar a imágenes de firmware se clasifica como un rootkit de interfaz de firmware extensible unificada (UEFI).

La cepa fue nombrada CosmicStrand por investigadores que trabajan para la firma de seguridad cibernética Kaspersky. Sin embargo, los analistas de Qihoo360 descubrieron inicialmente una versión anterior del malware, denominada Spy Shadow Trojan.

Como referencia, UEFI es una aplicación importante que conecta un sistema operativo con el firmware del propio hardware. Como tal, el código UEFI es lo que se ejecuta cuando una computadora se inicia inicialmente, incluso antes de cualquier medida de seguridad del sistema.

Como resultado, el malware que se ha colocado en la imagen del firmware UEFI es extremadamente efectivo para evadir las medidas de detección. Sin embargo, lo más preocupante es el hecho de que técnicamente no se puede eliminar el malware mediante una reinstalación limpia del sistema operativo. Ni siquiera puede deshacerse de él reemplazando la unidad de almacenamiento.

“Este controlador se modificó para interceptar la secuencia de arranque e introducirle lógica maliciosa”, dijo Mark Lechtik, quien anteriormente trabajó como ingeniero inverso de Kaspersky.

Kaspersky dijo que descubrió que el rootkit CosmicStrand UEFI se descubrió en las imágenes de firmware de las placas base Gigabyte o Asus que utilizan el conjunto de chips H81, que está asociado con el hardware vendido entre 2013 y 2015.

Placa base de computadora foto de archivo

Las víctimas de CosmicStrand eran particulares ubicados en China, Irán, Vietnam y Rusia y, por lo tanto, no se pudieron establecer vínculos con una nación, estado, organización o industria. Dicho esto, los investigadores confirmaron un enlace de CosmicStrand a un actor de amenazas de habla china debido a patrones de código que aparecieron en una red de bots de criptominería separada.

Kaspersky enfatizó que el rootkit de firmware CosmicStrand UEFI puede permanecer más o menos en un sistema infectado para siempre.

El malware UEFI fue reportado por primera vez en 2018 por otra empresa de seguridad en línea, ESET. Conocido como LoJax, fue utilizado por piratas informáticos rusos que pertenecían al grupo APT28. Desde entonces, la cantidad de rootkits basados ​​en UEFI que infectan los sistemas ha aumentado constantemente, lo que incluye ESPecter, un kit que se dice que se implementó con fines de espionaje desde 2012.

En otros lugares, los analistas de seguridad dijeron que detectó el firmware UEFI "más avanzado" a principios de este año en forma de MoonBounce.

Ha sido un año ajetreado para los grupos y los piratas informáticos involucrados en la comunidad de malware. Más recientemente, los actores de amenazas lograron usar Microsoft Calculator para distribuir código malicioso , mientras que Microsoft mismo lanzó una nueva iniciativa en la que ofrece a las empresas acceso a sus servicios de seguridad internos.