Rootkit CosmicStrand
Rootkit CosmicStrand

¡Alerta!: Los PC con Windows y placas base Asus y Gigabyte albergan el rootkit CosmicStrand

¡Algunos usuarios han sido victimas del Rootkit CosmicStrand!

¡Algunos usuarios han sido victimas del Rootkit CosmicStrand!

Recientemente los investigadores de seguridad han descubierto que el rootkit CosmicStrand se encuentra presente en los firmware de las placas base Asus y Gigabyte. Cabe mencionar que este peligroso rootkit no es nuevo, ya que se trata de una variante del troyano descubierto en 2016 llamado Spy Shadows.

Al parecer, CosmicStrand afecta a las PC con Windows y que en su interior utilizan Asus y Gigabyte y como tal, a esto es lo que se le conoce como una amenaza persistente avanzada (APT), ya que el software malicioso se oculta en los archivos de los firmware de estos componentes de hardware, lo que dificulta eliminar la amenaza, por lo tanto, ninguna cantidad de reinstalaciones de Windows podrá eliminar un rootkit UEFI como este.

Rootkit CosmicStrand
Rootkit CosmicStrand

Detectan que el rootkit CosmicStrand se oculta en el firmware de las placas base Asus y Gigabyte

Kaspersky ha mencionado que por ahora, los únicos sistemas que han sido objetivo del rootkit CosmicStrand cuentan con el sistema operativo Windows. En su informe, menciona que cada vez que una PC se reiniciaba, entonces el CosmicStrand ejecutaba un código malicioso con el fin de conectarse con un servidor C2 para descargar otros complementos adicional.

Además, el desarrollador de antimalware ha informado que los atacantes detrás de este malware utilizan ganchos de sucesión en los sistemas infectados, esto les permite que el código malicioso persista hasta que se haya iniciado por completo el OS.

Los pasos involucrados en el proceso son:

  • El firmware infectado inicial arranca toda la cadena.
  • El malware configura un gancho malicioso en el administrador de arranque, lo que le permite modificar el cargador del kernel de Windows antes de que se ejecute.
  • Al alterar el cargador del sistema operativo, los atacantes pueden configurar otro gancho en una función del kernel de Windows.
  • Cuando esa función se llama más tarde durante el procedimiento de inicio normal del sistema operativo, el malware toma el control del flujo de ejecución por última vez.
  • Despliega un shellcode en la memoria y se comunica con el servidor C2 para recuperar la carga útil maliciosa real para ejecutarla en la máquina de la víctima.

No obstante, Kaspersky no ha logrado determinar cómo se llevaron acabo inicialmente la infección, ya que al parecer los usuarios involucrados han comprado este tipo de placas base pero de segunda mano, las cuales probablemente ya venía con el rootkit CosmicStrand.

Muy importante, para los usuarios que cuentan con placas base Gigabyte y Asus y que ejecutan Windows para protegerse de este tipo de ataques es mejor tener habilitado el arranque seguro, este mecanismo podría eliminar cualquier ataque dañino.

Por otra parte, también es recomendable tener actualizado el firmware de las placas bases, el cual se puede descargar directamente desde las páginas web de cada uno de sus fabricantes.

Por ahora, los únicas victimas afectadas por el rootkit CosmicStrand son consumidores de China, Vietnam, Irán y Rusia.