CosmicStrand é um novo e sofisticado rootkit de firmware UEFI que foi atribuído a um hacker desconhecido que fala chinês.
Num estudo conduzido pela Kaspersky Lab, os investigadores criaram o nome CosmicStrand para este ataque.
Anteriormente, porém, os analistas de malware da Qihoo360 descobriram uma variante da ameaça conhecida como Spy Shadow Trojan, que era semelhante à mais recente.
No caso das máquinas alvo, não está claro como o hacker infectou as imagens de firmware com este rootkit de firmware UEFI.
Foi descoberto, no entanto, que o malware foi encontrado em computadores com placas-mãe das seguintes marcas:-
Rootkit UEFI
O UEFI é um software instalado como parte do sistema operacional em um computador que atua como uma ponte entre o sistema operacional e o firmware no firmware do hardware que executa o sistema operacional.
Antes que qualquer sistema operacional ou software de segurança possa ser carregado em um computador, o código UEFI deve ser executado primeiro para inicializar o computador.
Além da dificuldade de detectar malwares inseridos no Firmware UEFI imagem, ele também tem uma resistência notável. Pode ser possível removê-lo do seu computador, mas nesse caso, você precisará reinstalar o sistema operacional ou substituir a unidade de armazenamento, pois geralmente não é possível fazer isso.
Para realizar a tarefa, ganchos devem ser configurados no carregador do SO para modificá-lo. A partir daí, todo o fluxo de execução será controlado pelos ganchos.
De acordo com relatórioPara que o shellcode seja iniciado, ele deve ser carregado a partir do servidor de comando e controle do qual a carga útil será baixada.
Um driver CSMCORE DXE modificado foi incluído nas imagens de firmware comprometidas, o que permitiu o uso de processos de inicialização herdados.
Depois do MoonBounce, a segunda variedade de rootkit UEFI é o CosmicStrand, que é um arquivo de apenas 96,84 KB, descoberto este ano.
Alvos
Uma infecção por malware foi detectada no computador de uma vítima por um software antivírus na China depois que uma vítima relatou que seu computador havia criado uma nova conta sem que ela soubesse.
Descobriu-se que vários sistemas que foram identificados como infectados e que não estavam vinculados a nenhuma organização ou indústria pertenciam a particulares nos seguintes países:-
Desde o final de 2016, o rootkit de firmware CosmicStrand UEFI tem sido usado em operações há anos, com o rootkit capaz de persistir no computador pelo resto de sua vida.
Você pode nos seguir em Linkedin, Twitter, Facebook para atualizações diárias de segurança cibernética.