Los investigadores de Kaspersky han detallado una nueva variante del rootkit UEFI que está disponible en el Placas base ASUS y Gigabyte de 2013 a 2015 y es capaz de implementar implantes a nivel de kernel en los sistemas de las víctimas.
Los investigadores llamaron a este CosmicStrand, donde los investigadores chinos documentaron la primera variante de esto. Si bien no está claro cómo el actor de amenazas está inyectando su malware en estas placas base, advirtió que es altamente persistente y en su mayoría pasa desapercibido.
Un problema difícil de eliminar
Para los principiantes, una interfaz de firmware extensible unificada (UEFI) es un software que conecta el sistema operativo con el hardware del dispositivo. Es el primero que se carga cuando enciende su computadora, seguido por el sistema operativo y el software antivirus.
Y es profundo y crucial; los actores de amenazas lo apuntan para obtener múltiples tipos de acceso a la máquina del objetivo. Y vemos uno nuevo proveniente de actores de amenazas chinos, llamado como hilo cósmico por investigadores de Kaspersky.
Encontrado en las placas base ASUS y Gigabyte, los investigadores notaron que es altamente persistente e indetectable, ya que se ejecuta primero y arranca cada vez. Si bien se desconoce cómo los actores de amenazas pueden infectar las placas base, detallaron que ahora funcionará para obtener privilegios a nivel de kernel.
Los investigadores notaron que CosmicStrand podría permitir que los actores de amenazas obtengan acceso a nivel de raíz y realicen cualquier actividad maliciosa con poderes de nivel de administrador. La mayor parte de su actividad consiste en tratar de modificar el sistema operativo del sistema para tomar el control de todo el flujo de ejecución para iniciar el shellcode, que a cambio trae una carga útil del C2 del hacker.
Si bien dijeron que las placas base infectadas son de ASUS y Gigabyte (desde que usaron el chipset H81), solo el hardware antiguo suministrado entre 2013 y 2015 se vio afectado. Vincularon al actor de amenazas con un grupo chino, considerando que los patrones de código coincidían con MisReyes botnet de criptominería.
Además, una de las primeras variantes del mismo rootkit UEFI fue detallado por Qihoo360especialistas chinos en malware que lo nombraron Troyano Spy Shadow. Y los objetivos de esta infección incluyen principalmente a particulares en China, Irán, Vietnam y Rusia.
