Un rootkit es uno de los tipos de malware más peligrosos que pueden infectar su computadora. En julio de 2022, Kaspersky descubrió un rootkit que apunta específicamente al firmware UEFI de las placas base Gigabyte y Asus con el chipset Intel H81. Este rootkit, llamado CosmicStrand, podría ser una amenaza grave para su computadora ya que los actores de amenazas persistentes avanzadas (ATP) son su desarrollador.
Son notoriamente famosos por crear amenazas mortales para acceder y controlar computadoras y redes. Sorprendentemente, los ataques máximos de CosmicStrand han ocurrido a ciudadanos locales de China, Rusia, Vietnam e Irán en lugar de organizaciones comerciales.
¿Qué es CosmicStrand y qué hace?
CosmicStrand es un rootkit que da a los atacantes el control completo de su computadora sin que sepas nada. Permanece sin ser detectado por ningún tipo de medida de seguridad tradicional después de haber sido instalado sigilosamente en el Firmware UEFI de su dispositivo Windows.
Aparte de eso, el rootkit CosmicStrand tiene la capacidad de permanecer oculto en el dispositivo de la víctima incluso después de que el sistema operativo Windows se reinstale o repare. Esta habilidad lo hace muy peligroso y algo que no se puede tomar a la ligera.
Este rootkit le permite al atacante hacer lo que quiera en su computadora, incluido robar información confidencial, instalar otro malware e incluso apoderarse de todo el sistema.
¿Cómo se instala CosmicStrand en las computadoras?
Según el investigador de kaspersky, los piratas informáticos pudieron instalar CosmicStrand en el firmware de la víctima al realizar modificaciones en el controlador CSMCORE DXE. Esta modificación obliga al controlador a ejecutar una serie de códigos en el inicio del sistema que desencadena la descarga e instalación del componente CosmicStrand.
Al examinar las imágenes de firmware infectadas, los investigadores descubrieron que los atacantes realizaron modificaciones en el CSMCORE. controlador DXE obteniendo acceso previo a la computadora de la víctima y sobrescribiendo el firmware para introducir la automatización parcheador Este parcheador automático se encarga de redirigir el punto de entrada del controlador CSMCORE DXE al código malicioso almacenado en el archivo RELOC del ejecutable.
¿Cómo puede proteger su sistema de CosmicStrand y otros rootkits?
La mejor manera de proteger su sistema de CosmicStrand y otros rootkits es instalar una solución de seguridad robusta que pueda detectar y eliminar dichas amenazas.
También debe mantener su sistema operativo y todo el software actualizado con los últimos parches de seguridad. Esto ayudará a cerrar cualquier laguna que los atacantes puedan usar para ingresar a su sistema. Debería realizar las actualizaciones de firmware y todas las demás actualizaciones esenciales a través de fuentes oficiales y confiables.
También es esencial crear copias de seguridad periódicas de sus datos para que pueda restaurar su sistema en caso de que se infecte con un rootkit o cualquier otro malware.
Aparte de eso, sería mejor si también practicara medidas básicas de seguridad como no hacer clic en enlaces desconocidos o archivos adjuntos, no descargar software pirateado o contenido de sitios web no confiables y no compartir su información personal con cualquiera. Esto te ayudara protéjase de los ataques de ingeniería social.
¿Deberías preocuparte por ComicStrand?
A partir de agosto de 2022, hay muy pocos casos de ataques de rootkit ComicStrand. Sin embargo, dada la sofisticación del rootkit y su capacidad para permanecer oculto, es posible que veamos más ataques en el futuro. Además, hasta ahora, solo las placas base específicas de Gigabyte y Asus están en la lista de objetivos de ComicStrand, pero es posible que otros fabricantes de placas base también estén en riesgo.
Si tiene una placa base Gigabyte o Asus con un chipset Intel H81, es fundamental verificar si su sistema está infectado y, si detecta el rootkit, tomar medidas para eliminarlo. También debe instalar una solución de seguridad confiable para proteger su sistema de tales amenazas en el futuro.
Si bien el rootkit ComicStrand no es una amenaza generalizada, es crucial conocerlo y tomar medidas para proteger su sistema.