Nuestros investigadores examinaron una nueva versión del rootkit CosmicStrand, el cual encontraron en el firmware modificado UEFI (Interfaz de firmware extensible unificada por sus siglas en inglés): el código que se carga primero e inicial el proceso de arranque del sistema operativo cuando se prende la computadora.
El peligro del malware UEFI
Desde que el firmware UEFI está integrado en la tarjeta madre y no escrito en el disco duro, es inmune a cualquier manipulación del disco duro. Por ende, es muy difícil deshacerse del malware basado en UEFI: incluso si se limpia la unidad y se reinstala el sistema no hará nada al UEFI. Por esta misma razón, no todas las soluciones de seguridad pueden detectar el malware oculto en UEFI. En pocas palabras, una vez que el malware se introduce en el firmware, llega para quedarse.
Por supuesto, infectar UEFI no es una tarea simple: se necesita un acceso físico al dispositivo o algún mecanismo sofisticado para una infección remota del firmware. Además, para alcanzar su meta final, sin importar cuál sea, el malware no solo tiene que residir en UEFI, sino también penetrar en el sistema operativo al inicio, lo cual es más que complicado. Todo esto requiere un gran esfuerzo para lograrlo, razón por la que dicho malware se ve más frecuentemente en ataques dirigido contra persona u organizaciones de alto perfil.
Victimas y posibles vectores de infección de CosmicStrand
Por extraño que parezca, las víctimas de CosmicStrand identificadas por nuestros investigadores eran personas comunes que utilizaban nuestro antivirus gratuito. Al parecer, no tenían nada que ver con alguna organización de interés para los atacantes de este calibre. También resultó que las tarjetas madre infectadas provenían solo de dos fabricantes en todos los casos conocidos. Por tanto, es probable que los atacantes hayan encontrado alguna vulnerabilidad común en dichas tarjetas madre, la cual hizo posible la infección de UEFI.
Se desconoce cómo fue exactamente que los cibercriminales lograron entregar el malware. El hecho de que estas víctimas de CosmicStrand fueran personas sin mayor relevancia podría ser indicio de que los atacantes detrás de este rootkit pueden infectar URFI de manera remota. Pero también puede haber otras explicaciones: por ejemplo, los expertos de Qihoo 360, quienes investigaron las primeras versiones de CosmicStrand en 2016, sugirieron que una de las víctimas había comprado una tarjeta madre modificada a un revendedor. Pero en este caso, nuestros expertos nos pudieron confirmar el uso de algún método de infección en específico.
¿Qué hace CosmicStrand?
El propósito principal de CosmicStrand es descargar un programa malicioso al iniciar el sistema operativo, que luego realiza las tareas establecidas por los atacantes. Tras haber superado todas las etapas del proceso de arranque del sistema operativo de forma exitosa, el rootkit ejecuta finalmente un shellcode y contacta con el servidor C2 de los atacantes, desde donde recibe una carga maliciosa.
Nuestros investigadores no pudieron interceptar el archivo recibido por el rootkit desde su servidor C2. En cambio, en una de las máquinas infectadas, encontraron una pieza de malware que probablemente se relaciona con CosmicStrand. Este malware crea un usuario llamado “aaaabbbb” en el sistema operativo con derechos de administrador local- Para más detalles técnicos sobre CosmicStrand, consulta lo que nuestros investigadores publicaron en Securelist.
¿Deberíamos temer a los rootkits?
Desde 2016, CosmicStrand ha servido muy bien a los cibercriminales, atrayendo a su vez poca o nula atención de los investigadores en seguridad de la información. Lo cual es preocupante, claro, pero no es del todo negativo. En primer lugar, este un es ejemplo de malware sofisticado y costoso que se usa para ataques dirigidos no masivos; incluso si en ocasiones ataca a persona aparentemente aleatorias. En segundo lugar, existen productos de seguridad capaces de detectar dicho malware. Por ejemplo, nuestras soluciones de seguridad protegen a nuestros usuarios de los rootkits.