Header Ads Widget

Placas base ASUS y Gigabyte infectadas con un rootkit UEFI

 

Placas base ASUS y Gigabyte infectadas con un rootkit UEFI

Los investigadores de Kaspersky han detallado una nueva variante del rootkit UEFI que está disponible en las placas base ASUS y Gigabyte de 2013 a 2015 y es capaz de implementar implantes a nivel de kernel en los sistemas de las víctimas.

Los investigadores llamaron a este CosmicStrand, donde los investigadores chinos documentaron la primera variante de esto. Si bien no está claro cómo el actor de amenazas está inyectando su malware en estas placas base, advirtió que es altamente persistente y en su mayoría pasa desapercibido.

Un problema difícil de eliminar

Para los principiantes, una interfaz de firmware extensible unificada ( UEFI ) es un software que conecta el sistema operativo con el hardware del dispositivo. Es el primero que se carga cuando enciende su computadora, seguido por el sistema operativo y el software antivirus.

Y es profundo y crucial; los actores de amenazas lo apuntan para obtener múltiples tipos de acceso a la máquina del objetivo. Y vemos uno nuevo proveniente de los actores de amenazas chinos, denominado CosmicStrand por los investigadores de Kaspersky .

Encontrado en las placas base ASUS y Gigabyte, los investigadores notaron que es altamente persistente e indetectable, ya que se ejecuta primero y arranca cada vez. Si bien se desconoce cómo los actores de amenazas pueden infectar las placas base, detallaron que ahora funcionará para obtener privilegios a nivel de kernel.

Los investigadores notaron que CosmicStrand podría permitir que los actores de amenazas obtengan acceso a nivel de raíz y realicen cualquier actividad maliciosa con poderes de nivel de administrador. La mayor parte de su actividad consiste en tratar de modificar el sistema operativo del sistema para tomar el control de todo el flujo de ejecución a fin de iniciar el shellcode, que a cambio trae una carga útil del C2 del hacker.

Si bien dijeron que las placas base infectadas son de ASUS y Gigabyte (desde que usaron el chipset H81), solo se vio afectado el hardware antiguo suministrado entre 2013 y 2015. Vincularon al actor de amenazas con un grupo chino , considerando los patrones de código que coinciden con la red de bots de criptominería MyKings .

Además, Qihoo360 , especialistas chinos en malware, detalló una variante temprana del mismo rootkit UEFI y lo llamaron Spy Shadow Trojan . Y los objetivos de esta infección incluyen principalmente a particulares en China, Irán, Vietnam y Rusia.

Publicar un comentario

0 Comentarios