Nuestros investigadores examinaron una nueva versión del rootkit CosmicStrand que encontraron en el firmware modificado UEFI (Unified Extensible Firmware Interface, Interfaz unificada de firmware extensible, en español): el código que se carga primero e inicia el proceso de arranque del sistema operativo cuando se enciende el ordenador.
El peligro del malware en la UEFI
Desde que el firmware UEFI está insertado en el chip de la placa base y no escrito en el disco duro, este es inmune a cualquier manipulación del disco duro. Por lo tanto, es muy difícil deshacerse del malware basado en la UEFI: incluso si se borra la unidad y se reinstala el sistema operativo, la UEFI permanecerá intacta. Por esta misma razón, no todas las soluciones de seguridad pueden detectar el malware oculto en la UEFI. En pocas palabras, una vez que el malware se introduce en el firmware, este llega para quedarse.
Por supuesto, infectar la UEFI no es tarea fácil: se necesita un acceso físico al dispositivo o algún sofisticado mecanismo para infectar el firmware de forma remota. Además, para alcanzar su meta final, sea cual sea, el malware no solo tiene que residir en la UEFI, sino también penetrar en el sistema operativo al inicio, lo cual es más que complicado. Todo esto requiere de un gran esfuerzo para lograrlo, razón por la que dicho malware se ve más frecuentemente en ataques dirigidos contra personas u organizaciones de perfil alto.
Víctimas y posibles vectores de infección de CosmicStrand
Por extraño que parezca, las víctimas de CosmicStrand identificadas por nuestros investigadores eran personas comunes que utilizaban nuestro antivirus gratuito. Al parecer, no tenían nada que ver con ninguna empresa u organización que pudiera resultar interesante para los atacantes de este calibre. También resultó que, en todos los casos conocidos, las placas base infectadas provenían solo de dos fabricantes. Por lo tanto, es probable que los atacantes hayan encontrado alguna vulnerabilidad común en estas placas base, lo que hizo posible la infección de la UEFI.
No se sabe exactamente cómo consiguieron los cibercriminales introducir el malware. El hecho de que estas víctimas de CosmicStrand fueran personas comunes podría ser indicio de que los atacantes que hay detrás de este rootkit pueden infectar la UEFI de forma remota. Pero también puede haber otras explicaciones: por ejemplo, los expertos de Qihoo 360 que investigaron las primeras versiones de CosmicStrand en 2016, sugirieron que una de las víctimas había comprado una placa base modificada a un distribuidor. Pero, en este caso, nuestros expertos no pudieron confirmar el uso de ningún método de infección específico.
¿Qué hace CosmicStrand?
El propósito principal de CosmicStrand es descargar un programa malicioso al iniciar el sistema operativo, que luego lleva a cabo las tareas establecidas por los atacantes. Tras haber superado con éxito todas las etapas del proceso de arranque del sistema operativo, el rootkit ejecuta finalmente un shellcode y contacta con el servidor C2 de los atacantes, desde donde recibe una carga maliciosa.
Nuestros investigadores no pudieron interceptar el archivo recibido por el rootkit desde su servidor C2. En cambio, en uno de los equipos infectados, encontraron una pieza de malware que probablemente esté relacionado con CosmicStrand. Este malware crea en el sistema operativo un usuario llamado “aaaabbbb” con derechos de administrador local. Para más detalles técnicos sobre CosmicStrand, consulta lo que nuestros investigadores publicaron en Securelist.
¿Deberíamos temer a los rootkits?
Desde 2016, CosmicStrand le ha funcionado muy bien a los cibercriminales, atrayendo a su vez poca o nula atención por parte de los investigadores en seguridad de la información. Lo cual es preocupante, claro, pero no es del todo negativo. En primer lugar, este un es ejemplo de malware sofisticado y costoso que se usa para ataques dirigidos no masivos, aunque a veces ataque a personas de forma aparentemente aleatoria. En segundo lugar, existen productos de seguridad capaces de detectar este malware. Por ejemplo, nuestras soluciones de seguridad protegen a nuestros usuarios de los rootkits.