Novo Malware é encontrado em placas-mãe da Gigabyte e Asus

O mundo do malware é fascinante (e alarmante) porque as ameaças podem se originar de lugares inesperados. Esta semana, a Kaspersky emitiu um aviso sobre um rootkit sofisticado que é ativado antes do sistema operacional. O malware, conhecido como CosmicStrand, foi descoberto em computadores com placas-mãe Asus e Gigabyte .

A prática usa uma rota bastante comum em vez de investigar novas maneiras de contaminar a máquina. Em vez de infectar diretamente o Windows (ou outro sistema operacional ), o rootkit CosmicStrand se esconde no firmware da placa- mãe .

Um rootkit é um malware difícil de detectar e remover. Isso ocorre porque a ameaça se esconde dentro de um firmware ou das "profundezas" do sistema operacional , como ocorre neste caso .

O UEFI ( Unified Extensible Firmware Interface) é um tipo de intermediário entre o sistema operacional e o hardware do computador e é utilizado assim que a máquina é conectada .

Quando um computador está conectado, o malware também é executado se o rootkit estiver "grudado" no UEFI. Os problemas começam aqui.

O rootkit CosmicStrand

De acordo com a Kaspersky, o CosmicStrand foi detectado em placas -mãe com o chipset Intel H81 desde pelo menos 2020. Afinal, trata-se de um chipset um tanto antigo que foi anunciado em 2013 para funcionar com processadores Intel de quarta geração (Haswell).

Isso significa que, se o seu PC for baseado em um processador mais atual ou tiver um chipset diferente do Intel H81, ele não será suscetível às ações do CosmicStrand. Bem, pelo menos não há indicação neste momento de que outros chipsets tenham sido comprometidos. Portanto, nada de pânico.

No entanto, o problema com as máquinas vulneráveis ​​merece atenção. O rootkit é capaz de acessar recursos específicos no kernel do Windows , bem como alterar o fluxo de execução do processo de inicialização .

Teoricamente, essa abordagem oferece espaço para várias ações maliciosas, desde a coleta de dados secretos até a execução de software mal - intencionado .

Pesquisadores da Kaspersky descobriram que o CosmicStrand faz com que o Windows execute apenas códigos maliciosos. Eles não conseguiram acessar essa carga de programa. A suspeita, porém, é que se trate de alguma ferramenta ligada a uma organização chinesa que administra o botnet de mineração criptográfica MyKings .

Com base nisso, podemos supor que as máquinas afetadas pelo CosmicStrand foram usadas para minerar criptomoedas. No entanto, ações mais maliciosas não são descartadas .

Um malware em ação desde 2016

O rootkit recebeu o nome CosmicStrand da Kaspersky, no entanto, há indicações de que o malware é uma variante do Spy Shadow Trojan , que foi descoberto pela empresa chinesa Qihoo 360 em 2017 , mas estava ativo pelo menos desde 2016 .

Também há indicações de que os servidores que controlam o malware – para simplificar, vamos tratar o CosmicStrand e o Spy Shadow Trojan como a mesma coisa – ficaram inativos por longos períodos de tempo. Essa descoberta levanta a hipótese de que o rootkit foi ativado em momentos específicos, possivelmente com objetivos diferentes em mente.

Quando consideramos que o CosmicStrand é uma ameaça contínua, a ativação em determinados momentos faz sentido. Ela não pode ser facilmente removida do computador. Como o malware está incluído no firmware, a formatação da máquina não resolverá o problema .

Reinstalar ou atualizar o firmware é a opção mais prática. No entanto, isso só faz sentido se um rootkit for encontrado. Não é uma tarefa fácil, no entanto. O CosmicStrand emprega algumas táticas que dificultam a detecção das ferramentas de segurança. Países em que o CosmicStrand foi encontrado logo abaixo:

Como o CosmicStrand pode infectar um computador é uma pergunta para a qual os pesquisadores ainda não encontraram uma resposta. É uma pergunta muito significativa. China, Vietnã, Irã e Rússia estão entre os países onde PCs infectados foram encontrados, sugerindo um ataque viral. Por outro lado, por regra, a manipulação do firmware UEFI requer acesso físico à máquina .

Uma possibilidade levantada pelo Qihoo 360 é que as unidades comprometidas foram contaminadas por meio de uma venda de placas de segunda mão. No entanto, ainda não há relatos de que isso aconteceu.

De qualquer forma, o caso serve como um aviso. A indústria precisa prestar mais atenção às questões de segurança envolvendo UEFI e firmwares como um todo.

Fonte: TECNOBLOG