Una cepa de malware capaz de sobrevivir a las reinstalaciones del sistema operativo se ha infiltrado en secreto en las placas base más antiguas de Asus y Gigabyte, según el proveedor de antivirus Kaspersky.
El malware, denominado CosmicStrand, está diseñado para infectar la UEFI (Interfaz de firmware extensible unificada) de la placa base, de modo que pueda persistir en una máquina con Windows, incluso si se extrae la unidad de almacenamiento.
El lunes, Kaspersky dijo que descubrió que CosmicStrand circulaba en computadoras con Windows en China, Vietnam, Irán y Rusia. Todas las víctimas usaban el software antivirus gratuito de Kaspersky, por lo que probablemente eran particulares.
Mapa de la distribución de víctimas para CosmicStrand. (Kaspersky)
La investigación de la empresa(Se abre en una nueva ventana) descubrió que CosmicStrand estaba ubicado en imágenes de firmware para placas base Asus y Gigabyte más antiguas que usaban el H81(Se abre en una nueva ventana) chipset, que se lanzó originalmente en 2013, pero desde entonces ha sido descontinuado.
Al infectar el UEFI de la placa base, CosmicStrand puede ejecutar procesos maliciosos justo cuando la PC se inicia. Esto puede resultar en que la máquina recupere un componente malicioso de un servidor controlado por piratas informáticos y lo instale dentro del sistema operativo Windows.
“Desafortunadamente, no pudimos obtener una copia de los datos provenientes del servidor C2 (comando y control)”, dijo Kaspersky. Pero la compañía encontró evidencia de que los creadores de CosmicStrand estaban intentando secuestrar de forma remota las máquinas infectadas.
Kaspersky tampoco está seguro de cómo termina CosmicStrand en las computadoras de las víctimas. Pero es posible que haya llegado a través de otra variedad de malware que ya estaba en el sistema, o a través de los piratas informáticos que obtuvieron acceso físico al hardware.
“Al observar las diversas imágenes de firmware que pudimos obtener, evaluamos que las modificaciones pueden haberse realizado con un parche automático. Si es así, se seguiría que los atacantes tenían acceso previo a la computadora de la víctima para extraer, modificar y sobrescribir el firmware de la placa base”, agregó Kaspersky.
CosmicStrand no es el primer malware basado en UEFI; a lo largo de los años, la industria antivirus ha descubierto varias otras cepas. Sin embargo, CosmicStrand parece haber pasado desapercibido durante varios años. La investigación de Kaspersky encontró que una muestra del malware se comunicaba con un servidor controlado por piratas informáticos que apareció por primera vez en diciembre de 2016. Se encontró otra muestra que se comunicaba con un servidor controlado por piratas informáticos separado en 2020.
Los servidores a los que se comunicaban las muestras de malware. (Kaspersky)
Además, Kaspersky señaló que el proveedor de antivirus chino Qihoo 360 también descubrió(Se abre en una nueva ventana) una variante temprana de CosmicStrand en 2017, que afectaba a una placa base Asus B85M.
“El informe inicial de Qihoo indica que un comprador podría haber recibido una placa base con puerta trasera después de realizar un pedido a un revendedor de segunda mano. No pudimos confirmar esta información”, agregó Kaspersky.
Recomendado por Nuestros Editores
La compañía actualmente sospecha que los piratas informáticos chinos crearon CosmicStrand, citando cómo su código de computadora coincide con otro malware asociado con piratas informáticos en idioma chino.
«Los productos de Kaspersky detectarán esta amenaza y evitarán que se ejecute correctamente, haciéndola inocua, pero no estoy seguro de que podamos realizar la desinfección del firmware, ya que existiría el riesgo de dañar la máquina del usuario», dijo a PCMag Ivan Kwiatkowski, analista de malware de la empresa. .
«La única forma de eliminar la infección definitivamente es volver a actualizar el firmware de la placa base, una operación delicada que se puede realizar a través del BIOS (solo para usuarios avanzados) o utilizando las utilidades proporcionadas por el proveedor del hardware», agregó. «La forma alternativa (incondicional) de eliminar esta infección sería reemplazar la placa base de la computadora y luego reinstalar Windows».
¿Te gusta lo que estás leyendo?
Matricularse en Vigilancia de la seguridad boletín de noticias para nuestras principales historias de privacidad y seguridad directamente en su bandeja de entrada.
Este boletín puede contener publicidad, ofertas o enlaces de afiliados. Suscribirse a un boletín informativo indica su consentimiento a nuestros Términos de uso y Política de privacidad. Puede darse de baja de los boletines en cualquier momento.