Investigadores de la empresa de ciberseguridad Kaspersky han descubierto una nueva forma de malware que reside en el UEFI de la placa base. El malware es una forma de rootkit que permanece presente incluso después de borrar o reemplazar el disco duro o SSD del host.
Los ingenieros de Kaspersky (a través de Bleeping Computer (se abre en una pestaña nueva)) lo llamó CosmicStrand (se abre en una pestaña nueva). Se informa que es una evolución de un malware anterior llamado Spy Shadow Trojan que se descubrió en 2016. Los investigadores encontraron el malware CosmicStrand en el firmware de las placas base Asus y Gigabyte. ¡Pero no entres en pánico! Lo explicaré.
Los sistemas infectados ejecutaban placas base basadas en el conjunto de chips H81, que data de hace muchos años. Un atacante también necesitaría acceso al sistema o necesitaría instalar un malware diferente para actualizar o parchear el firmware para inyectar el malware CosmicStrand. Entonces, si está leyendo esto, no piense que los sistemas Asus o Gigabyte han sido inseguros durante todos estos años o que su sistema está comprometido. Hasta que haya más investigaciones, es posible que CosmicStrand solo pueda aprovechar una posible vulnerabilidad H81 UEFI.
El malware establece una serie de ganchos que permiten el acceso al kernel de Windows, lo que eventualmente lleva al sistema operativo infectado a recuperar una carga útil que se ejecutará en la máquina de la víctima. Los ingenieros de Kaspersky no pudieron recuperar la carga útil en sí, pero creen que el malware comparte patrones de código con un grupo chino responsable de la red de bots de criptominería MyKings.
Y de eso se trata este tipo de cosas: cabrones que intentan robar o ganar dinero.
La UEFI, o Interfaz de firmware extensible unificada, es casi como un mini sistema operativo. Es la interfaz entre el hardware y el software del sistema, lo que significa que influye en el sistema operativo y en todo el software del sistema. La UEFI suele ser segura y requiere un conocimiento específico del código. Por lo tanto, hay muy pocas amenazas UEFI conocidas.
El informe de Kaspersky afirma que «los múltiples rootkits descubiertos hasta ahora evidencian un punto ciego en nuestra industria que debe abordarse lo antes posible».
Entonces, si bien la amenaza es limitada, destaca la necesidad de que la industria preste mucha atención a las posibles vulnerabilidades. El atractivo de un millón de máquinas infectadas que extraen de forma encubierta una moneda criptográfica es una enorme zanahoria colgante para un actor malicioso.