{"id":25108,"date":"2022-08-01T12:06:07","date_gmt":"2022-08-01T18:06:07","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=25108"},"modified":"2022-08-01T12:06:07","modified_gmt":"2022-08-01T18:06:07","slug":"cosmicstrand-uefi-rootkit","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/cosmicstrand-uefi-rootkit\/25108\/","title":{"rendered":"CosmicStrand: un rootkit UEFI"},"content":{"rendered":"

Nuestros investigadores examinaron una nueva versi\u00f3n del rootkit CosmicStrand<\/a>, el cual encontraron en el firmware modificado UEFI<\/a> (Interfaz de firmware extensible unificada por sus siglas en ingl\u00e9s): el c\u00f3digo que se carga primero e inicial el proceso de arranque del sistema operativo cuando se prende la computadora.<\/p>\n

El peligro del malware UEFI<\/h2>\n

Desde que el firmware UEFI est\u00e1 integrado en la tarjeta madre y no escrito en el disco duro, es inmune a cualquier manipulaci\u00f3n del disco duro. Por ende, es muy dif\u00edcil deshacerse del malware basado en UEFI: incluso si se limpia la unidad y se reinstala el sistema no har\u00e1 nada al UEFI. Por esta misma raz\u00f3n, no todas las soluciones de seguridad pueden detectar el malware oculto en UEFI. En pocas palabras, una vez que el malware se introduce en el firmware, llega para quedarse.<\/p>\n

Por supuesto, infectar UEFI no es una tarea simple: se necesita un acceso f\u00edsico al dispositivo o alg\u00fan mecanismo sofisticado para una infecci\u00f3n remota del firmware. Adem\u00e1s, para alcanzar su meta final, sin importar cu\u00e1l sea, el malware no solo tiene que residir en UEFI, sino tambi\u00e9n penetrar en el sistema operativo al inicio, lo cual es m\u00e1s que complicado. Todo esto requiere un gran esfuerzo para lograrlo, raz\u00f3n por la que dicho malware se ve m\u00e1s frecuentemente en ataques dirigido contra persona u organizaciones de alto perfil.<\/p>\n

Victimas y posibles vectores de infecci\u00f3n de CosmicStrand<\/h2>\n

Por extra\u00f1o que parezca, las v\u00edctimas de CosmicStrand identificadas por nuestros investigadores eran personas comunes que utilizaban nuestro antivirus gratuito. Al parecer, no ten\u00edan nada que ver con alguna organizaci\u00f3n de inter\u00e9s para los atacantes de este calibre. Tambi\u00e9n result\u00f3 que las tarjetas madre infectadas proven\u00edan solo de dos fabricantes en todos los casos conocidos. Por tanto, es probable que los atacantes hayan encontrado alguna vulnerabilidad com\u00fan en dichas tarjetas madre, la cual hizo posible la infecci\u00f3n de UEFI.<\/p>\n

Se desconoce c\u00f3mo fue exactamente que los cibercriminales lograron entregar el malware. El hecho de que estas v\u00edctimas de CosmicStrand fueran personas sin mayor relevancia podr\u00eda ser indicio de que los atacantes detr\u00e1s de este rootkit pueden infectar URFI de manera remota. Pero tambi\u00e9n puede haber otras explicaciones: por ejemplo, los expertos de Qihoo 360, quienes investigaron las primeras versiones de CosmicStrand en 2016, sugirieron<\/a> que una de las v\u00edctimas hab\u00eda comprado una tarjeta madre modificada a un revendedor. Pero en este caso, nuestros expertos nos pudieron confirmar el uso de alg\u00fan m\u00e9todo de infecci\u00f3n en espec\u00edfico.<\/p>\n

\u00bfQu\u00e9 hace CosmicStrand?<\/h2>\n

El prop\u00f3sito principal de CosmicStrand es descargar un programa malicioso al iniciar el sistema operativo, que luego realiza las tareas establecidas por los atacantes. Tras haber superado todas las etapas del proceso de arranque del sistema operativo de forma exitosa, el rootkit ejecuta finalmente un shellcode y contacta con el servidor C2<\/a> de los atacantes, desde donde recibe una carga maliciosa.<\/p>\n

\"Cadena

Cadena de infecci\u00f3n del rootkit CosmicStrand<\/p><\/div>\n

Nuestros investigadores no pudieron interceptar el archivo recibido por el rootkit desde su servidor C2. En cambio, en una de las m\u00e1quinas infectadas, encontraron una pieza de malware que probablemente se relaciona con CosmicStrand. Este malware crea un usuario llamado \u201caaaabbbb\u201d en el sistema operativo con derechos de administrador local- Para m\u00e1s detalles t\u00e9cnicos sobre CosmicStrand, consulta lo que nuestros investigadores publicaron en Securelist<\/a>.<\/p>\n

\u00bfDeber\u00edamos temer a los rootkits?<\/h2>\n

Desde 2016, CosmicStrand ha servido muy bien a los cibercriminales, atrayendo a su vez poca o nula atenci\u00f3n de los investigadores en seguridad de la informaci\u00f3n. Lo cual es preocupante, claro, pero no es del todo negativo. En primer lugar, este un es ejemplo de malware sofisticado y costoso que se usa para ataques dirigidos no masivos; incluso si en ocasiones ataca a persona aparentemente aleatorias. En segundo lugar, existen productos de seguridad capaces de detectar dicho malware. Por ejemplo, nuestras soluciones de seguridad<\/a> protegen a nuestros usuarios de los rootkits.<\/p>\n

\"Mantente<\/a><\/p>\n

\u00a0<\/p>\n","protected":false},"excerpt":{"rendered":"

Nuestros expertos descubrieron una nueva versi\u00f3n de CosmicStrand, un rootkit que se esconde de los investigadores en el firmware UEFI. <\/p>\n","protected":false},"author":2477,"featured_media":25109,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[3145],"tags":[638,5803,1261,366,810],"class_list":{"0":"post-25108","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-amenazas","9":"tag-cosmicstrand","10":"tag-great","11":"tag-rootkit","12":"tag-uefi"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/cosmicstrand-uefi-rootkit\/25108\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/cosmicstrand-uefi-rootkit\/24412\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/cosmicstrand-uefi-rootkit\/19878\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/cosmicstrand-uefi-rootkit\/10046\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/cosmicstrand-uefi-rootkit\/26807\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/cosmicstrand-uefi-rootkit\/24713\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/cosmicstrand-uefi-rootkit\/27453\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/cosmicstrand-uefi-rootkit\/27118\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/cosmicstrand-uefi-rootkit\/33702\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/cosmicstrand-uefi-rootkit\/10893\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/cosmicstrand-uefi-rootkit\/45017\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/cosmicstrand-uefi-rootkit\/19233\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/cosmicstrand-uefi-rootkit\/19787\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/cosmicstrand-uefi-rootkit\/29085\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/cosmicstrand-uefi-rootkit\/25300\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/cosmicstrand-uefi-rootkit\/30778\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/cosmicstrand-uefi-rootkit\/30524\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/rootkit\/","name":"Rootkit"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/25108","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/2477"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=25108"}],"version-history":[{"count":4,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/25108\/revisions"}],"predecessor-version":[{"id":25112,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/25108\/revisions\/25112"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/25109"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=25108"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=25108"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=25108"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}