bienvenido a t-cert
La empresa de ciberseguridad Kaspersky detectó un rootkit UEFI al que han apodado como CosmicStand gracias a su antivirus y al trabajo de sus investigadores. Según han investigado, esta amenaza se usa desde 2016 y logra que los equipos continúen infectados incluso si se reinstala un sistema operativo o se reemplaza un disco duro.
Avast, otra compañía de seguridad informática, define un rootkit como "un sigiloso y peligroso tipo de malware que permite a los hackers acceder a su equipo sin su conocimiento". El caso de CosmicStand es casi indetectable y usa la interfaz de firmware extensible unificada (UEFI), un sistema operativo por derecho propio.
La autoría del rootkit UEFI a un grupo de ciberdelincuentes de habla china vinculado con el troyano cryptominer. "El aspecto más sorprendente de este informe es que este implante UEFI parece haber sido utilizado desde fines de 2016, mucho antes de que los ataques UEFI comenzaran a describirse públicamente -recalcan-. Este descubrimiento plantea una pregunta final: si esto es lo que los atacantes estaban usando en ese entonces, ¿qué están usando hoy?".
Se han encontrado el rootkit en las imágenes de firmware de algunas placas base Gigabyte o Asus. En concreto, CosmicStrand establece ‘ganchos’ en puntos clave que afectan al proceso de arranque para continuar atacando incluso si el dueño del dispositivo resetea el equipo.
.jpg){kind=small}