Durante años, algunas placas base Gigabyte y Asus llevaban malware UEFI

Rubén Castro, 29 julio 2022

Ya está aquí la Vuelta al Cole de GeekBuying con descuentos de hasta el 50%!!!

Ver las mejores ofertas

Esta semana, los investigadores de Kaspersky revelaron un nuevo rootkit de firmware apodado “CosmicStrand”, que se cree que es obra de un grupo desconocido de actores maliciosos chinos…

Los investigadores explican que el rootkit fue descubierto en imágenes de firmware de varias placas base de Asus y Gigabyte equipadas con un chipset Intel H81, uno de los chipsets más longevos de la era Haswell que finalmente fue descatalogado en 2020.

Dado que el firmware UEFI es la primera pieza de código que se ejecuta al encender un ordenador, esto hace que CosmicStrand sea especialmente difícil de eliminar en comparación con otros tipos de malware. Los rootkits de firmware también son más difíciles de detectar y allanan el camino para que los hackers instalen malware adicional en un sistema objetivo.

Limitarse a borrar el almacenamiento de su PC no eliminará la infección, como tampoco lo hará sustituir los dispositivos de almacenamiento por completo. UEFI es esencialmente un pequeño sistema operativo que vive dentro de un chip de memoria no volátil, normalmente soldado en la placa base. Esto significa que la eliminación de CosmicStrand requiere herramientas especiales para reimaginar el chip flash mientras el PC está apagado. Cualquier otra cosa dejaría el ordenador en un estado infectado.

Hasta ahora, parece que sólo se han visto comprometidos los sistemas Windows de países como Rusia, China, Irán y Vietnam. Sin embargo, el implante UEFI se ha utilizado en la naturaleza desde finales de 2016, lo que plantea la posibilidad de que este tipo de infección sea más común de lo que se suponía.

Ya en 2017, la empresa de seguridad Qihoo360 descubrió lo que podría haber sido una variante temprana de CosmicStrand. En años más recientes, los investigadores encontraron otros rootkits UEFI como MosaicRegressor, FinSpy, ESpecter y MoonBounce.

En cuanto a CosmicStrand, es un malware muy potente que tiene un tamaño inferior a 100 kilobytes. No se sabe mucho sobre cómo llegó a los sistemas objetivo, pero su funcionamiento es sencillo. En primer lugar, infecta el proceso de arranque estableciendo los llamados “ganchos” en ciertos puntos del flujo de ejecución, añadiendo así la funcionalidad que el atacante necesita para modificar el cargador del kernel de Windows antes de que se ejecute.

A partir de ahí, los atacantes pueden instalar otro gancho en forma de función en el kernel de Windows que se llama en un proceso de arranque posterior. Esta función despliega un shellcode en la memoria que puede contactar con un servidor de comando y control y descargar malware adicional en el PC infectado.

CosmicStrand también puede desactivar las protecciones del kernel como PatchGuard (conocida como Microsoft Kernel Patch Protection), que es una función de seguridad crucial de Windows. También hay algunas similitudes en términos de patrones de código entre CosmicStrand y el malware relacionado con la red de bots MyKings, que se ha utilizado para desplegar criptomineros en los ordenadores de las víctimas.

A los investigadores de Kaspersky les preocupa que CosmicStrand pueda ser uno de los muchos rootkits de firmware que han conseguido permanecer ocultos durante años. Señalan que “los múltiples rootkits descubiertos hasta ahora evidencian un punto ciego en nuestra industria que debe ser abordado más pronto que tarde”.

Por cierto, según dicen solo los sistemas Windows de países como Rusia, China, Irán y Vietnam han sido comprometidos, y sospechan de un grupo desconocido de actores maliciosos chinos… ¿Seguro? ¿No pueden ser americanos? Porque creo que tienen bastante más enemistad con esos países que los chinos…