El malware que puede sobrevivir reinstala el sistema operativo en las placas base Asus y Gigabyte

Una cepa de malware capaz de sobrevivir a las reinstalaciones del sistema operativo se está infiltrando en secreto en las viejas placas base Asus y Gigabyte, según la firma antivirus Kaspersky.

El malware, denominado CosmicStrand, está diseñado para infectar placas base UEFI (Interfaz de firmware extensible unificada), por lo que puede persistir en una máquina con Windows, incluso si se extrae la unidad de almacenamiento.

El lunes, Kaspersky dijo que había revelado que CosMixTrand estaba operando en computadoras con Windows en China, Vietnam, Irán y Rusia. Todas las víctimas usaban el antivirus Kaspersky gratuito, por lo que lo más probable es que fueran particulares.

Mapa de distribución de bajas de CosmicStrand. (Kaspersky)

empresa Investigación(Se abre en una nueva ventana) Se descubrió que CosmicStrand estaba presente en imágenes de firmware de placas base Asus y Gigabyte más antiguas que usan una extensión H81(Se abre en una nueva ventana) Chipset, que se lanzó originalmente en 2013, pero desde entonces ha sido descontinuado.

Al infectar el UEFI de su placa base, CosmicStrand puede ejecutar directamente procesos maliciosos cuando enciende su computadora. Esto puede resultar en que el dispositivo recupere un componente malicioso de un servidor controlado por piratas informáticos y lo instale dentro del sistema operativo Windows.

“Desafortunadamente, no pudimos obtener una copia de los datos del servidor C2 (Command and Control)”, dijo Kaspersky. Pero la compañía encontró evidencia de que los creadores de CosmicStrand estaban tratando de secuestrar de forma remota los dispositivos infectados.

Kaspersky tampoco está seguro de cómo CosmicStrand accedió a las computadoras de las víctimas. Pero podría haber llegado a través de otra variedad de malware que ya estaba en el sistema, o a través de piratas informáticos que obtuvieron acceso físico a los dispositivos.

«Dadas las diversas imágenes de firmware que pudimos obtener, estimamos que las modificaciones pueden haberse realizado utilizando un depurador automático. Si es así, se deduce que los atacantes tuvieron acceso previo a la computadora de la víctima para extraer, modificar y sobrescribir el firmware de la placa la madre».

CosmicStrand no es el primer malware basado en UEFI; A lo largo de los años, la industria antivirus Descubrir varios más presiones. Sin embargo, CosmicStrand parece haberse escondido bajo el radar durante varios años. Una investigación de Kaspersky encontró que una muestra del malware se conectaba a un servidor controlado por piratas informáticos que apareció por primera vez en diciembre de 2016. Se encontró otra muestra que se conectaba a un servidor controlado por piratas informáticos separado en 2020.

Servidores conectados en muestras de malware. (Kaspersky)

Además, Kaspersky señaló que el producto antivirus chino Qihoo 360 también Descubrir(Se abre en una nueva ventana) Una versión anterior de CosmicStrand en 2017, que afectaba a la placa base Asus B85M.

«El informe inicial de Qihoo indica que el comprador puede haber recibido una placa base de puerta trasera después de realizar un pedido en el minorista usado. No pudimos confirmar esta información», agregó Kaspersky.

La compañía actualmente sospecha que CosmicStrand fue creado por piratas informáticos chinos, citando cómo su código de computadora coincide con otro malware vinculado a los piratas informáticos chinos. Kaspersky no mencionó cómo la víctima podría eliminar CosmicStrand de la placa base infectada. Pero probablemente requerirá sobrescribir el firmware UEFI malicioso con software legítimo del proveedor de su placa base.