Noticias

Malware CosmicStrand encontrado en placas base ASUS y Gigabyte

Los investigadores de seguridad del fabricante de antivirus Kaspersky descubrieron un rootkit de firmware UEFI llamado «CosmicStrand» que estaba infectando sistemas con placas base Asus y Gigabyte.

En los no expertos, el firmware UEFI (Unified Firmware Interface) es responsable de arrancar las computadoras con Windows, incluida la carga del sistema operativo, incluso antes de cualquier medida de seguridad del sistema.

Como resultado, el malware colocado en una imagen de firmware UEFI es particularmente difícil de detectar, lo que dificulta su eliminación realizando una reinstalación limpia del sistema operativo o incluso reemplazando la unidad de almacenamiento.

Aunque los investigadores no pudieron determinar cómo se infectaron inicialmente las máquinas víctimas, un análisis de su hardware permitió a los expertos averiguar qué dispositivos pueden ser infectados por CosmicStrand.

Encontraron el rootkit ubicado en las imágenes de firmware de las placas base ASUS y Gigabyte más antiguas, relacionadas con el hardware que usaba el chipset H81 vendido entre 2013 y 2015. Esto sugiere que podría existir una vulnerabilidad común que permitiera a los atacantes inyectar su rootkit en el firmware del firmware. imagen.

“En estas imágenes de firmware, se han introducido modificaciones en el controlador CSMCORE DXE, cuyo punto de entrada se ha parcheado para redirigir al código agregado en la sección .reloc. Este código, que se ejecuta durante el inicio del sistema, desencadena una larga cadena de ejecución que da como resultado la descarga y el despliegue de un componente malicioso dentro de Windows”, dice el análisis publicado por los expertos.

“Al observar las diversas imágenes de firmware que pudimos encontrar, creemos que las modificaciones pueden haber sido realizadas por un parche automático. De ser así, habría surgido posteriormente que los atacantes tenían acceso previo a la computadora de la víctima para eliminar, modificar y sobrescribir el firmware de la placa base”.

Revisa Kaspersky en profundidad Sección Lista segura que describe cómo los actores de amenazas entregan la carga útil maliciosa durante el inicio:

El flujo de trabajo consiste en establecer ganchos uno tras otro, lo que permite que el código malicioso continúe hasta que se inicie el sistema operativo. Los pasos involucrados son:

  • El firmware infectado inicial empuja toda la cadena.
  • El malware establece un gancho malicioso en el administrador de arranque, lo que le permite modificar el cargador del kernel de Windows antes de que se ejecute.
  • Al interferir con el cargador del sistema operativo, los atacantes pueden configurar otro gancho en la implementación del kernel de Windows.
  • Cuando se llama a esa función más tarde durante el procedimiento normal de inicio del sistema operativo, el malware toma el control del flujo de ejecución por última vez.
  • Despliega shellcode en la memoria y se comunica con el servidor C2 para recuperar la carga útil maliciosa real para ejecutarla en la máquina de la víctima.

Aunque Kaspersky no ha podido determinar cómo terminó el rootkit en las máquinas infectadas en primer lugar, algunos usuarios informaron haber recibido dispositivos comprometidos después de realizar un pedido a un revendedor de segunda mano.

Según los investigadores, el rootkit de firmware UEFI se ha utilizado ampliamente para atacar a particulares en China, Vietnam, Irán y Rusia sin ninguna conexión con ninguna organización o industria vertical.

Además, una empresa antivirus rusa vinculó a CosmicStrand con un actor de habla china basándose en las similitudes observadas en una botnet anterior conocida como «MyKings» debido a sus patrones de código.

“El aspecto más sorprendente de este informe es que esta implementación de UEFI parece haber sido utilizada desde fines de 2016, mucho antes de que se describieran públicamente los ataques de UEFI. Este descubrimiento genera una pregunta final: si esto es lo que los atacantes estaban usando en ese entonces, ¿qué están usando? Este Dia?» dice el análisis.

En 2017, una versión anterior del malware quien vio por primera vez por la firma de seguridad china Qihoo360, que lo nombró Troyano Shadow Spy. En los últimos años, los investigadores han descubierto rootkits UEFI adicionales como MosaicRegressor, FinSpy, Spectre y MoonBounce.

HackNarrow

Informático de profesión, me dedico a probar nuevas versiones de hardware y verificar la seguridad e integridad de servidores y firewalls. Escribo un poco sobre novedades en la rama de la seguridad informática en general.

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
error: Content is protected !!