Autor
Dispositivos afectados
Aunque no pudimos descubrir cómo se infectaron inicialmente las máquinas víctimas, un análisis de su hardware arroja luz sobre los dispositivos que CosmicStrand puede infectar. El rootkit se encuentra en las imágenes de firmware de las placas base Gigabyte o ASUS, y notamos que todas estas imágenes están relacionadas con diseños que utilizan el chipset H81. Esto sugiere que puede existir una vulnerabilidad común que permitió a los atacantes inyectar su rootkit en la imagen del firmware.
En estas imágenes de firmware, se han introducido modificaciones en el controlador CSMCORE DXE, cuyo punto de entrada se ha parcheado para redirigir al código agregado en la sección .reloc. Este código, ejecutado durante el inicio del sistema, desencadena una larga cadena de ejecución que da como resultado la descarga y el despliegue de un componente malicioso dentro de Windows.
Al observar las diversas imágenes de firmware que pudimos obtener, evaluamos que las modificaciones pueden haberse realizado con un parche automático. De ser así, se deduciría que los atacantes tenían acceso previo al ordenador de la víctima para extraer, modificar y sobrescribir el firmware de la placa base. Esto podría lograrse a través de un implante de malware precursor ya implementado en la computadora o acceso físico (es decir, un escenario de ataque de sirvienta malvada). El informe inicial de Qihoo indica que un comprador podría haber recibido una placa base con puerta trasera después de realizar un pedido a un revendedor de segunda mano. No pudimos confirmar esta información.
Fuentes:
https://securelist.com/cosmicstrand-uefi-firmware-rootkit/106973/
https://www.bleepingcomputer.com/news/security/cosmicstrand-uefi-malware-found-in-gigabyte-asus-motherboards/
https://www.adslzone.net/noticias/seguridad/placa-base-gigabyte-asus-malware/
Saludos.
En línea
