Un rootkit este unul dintre cele mai periculoase tipuri de malware care vă poate infecta computerul. În iulie 2022, Kaspersky a descoperit un rootkit care vizează în mod specific firmware-ul UEFI al plăcilor de bază Gigabyte și Asus cu chipset Intel H81. Acest rootkit, numit CosmicStrand, ar putea fi o amenințare gravă pentru computer, deoarece actorii ATP (Advanced Persistent Threats) sunt dezvoltatorii lui.
Sunt faimoși pentru că creează amenințări mortale pentru accesul și controlul computerelor și rețelelor. În mod surprinzător, atacurile maxime CosmicStrand s-au întâmplat cetățenilor locali din China, Rusia, Vietnam și Iran în loc de organizații de afaceri.
Ce este CosmicStrand și ce face?
CosmicStrand este un rootkit care oferă atacatorilor control complet asupra computerului dvs fara sa stii nimic. Rămâne nedetectat de orice tip de măsuri tradiționale de securitate după ce a fost instalat pe furiș pe Firmware-ul UEFI al dispozitivului dvs. Windows.
În afară de asta, rootkit-ul CosmicStrand are capacitatea de a rămâne ascuns pe dispozitivul victimei chiar și după ce sistemul de operare Windows este reinstalat sau reparat. Această abilitate îl face foarte periculos și ceva ce nu poți lua cu ușurință.
Acest rootkit permite atacatorului să facă orice dorește pe computerul dvs., inclusiv să fure informații sensibile, să instaleze alte programe malware și chiar să preia întregul sistem.
Cum este instalat CosmicStrand pe computere?
Potrivit cercetătorului de la Kaspersky, hackerii au reușit să instaleze CosmicStrand pe firmware-ul victimei făcând modificări la driverul CSMCORE DXE. Această modificare forțează driverul să ruleze o serie de coduri la pornirea sistemului care declanșează descărcarea și instalarea componentei CosmicStrand.
Examinând imaginile de firmware infectate, cercetătorii au descoperit că atacatorii au făcut modificări în CSMCORE Driver DXE obținând acces prealabil la computerul victimei și suprascriind firmware-ul pentru a introduce automatul pacher. Acest patcher automat este responsabil pentru redirecționarea punctului de intrare al driverului CSMCORE DXE către codul rău intenționat stocat în fișierul RELOC al executabilului.
Cum vă puteți proteja sistemul de CosmicStrand și alte rootkit-uri?
Cel mai bun mod de a vă proteja sistemul de CosmicStrand și alte rootkit-uri este să instalați o soluție de securitate robustă care poate detecta și elimina astfel de amenințări.
De asemenea, ar trebui să vă mențineți sistemul de operare și tot software-ul la zi cu cele mai recente corecții de securitate. Acest lucru va ajuta la închiderea eventualelor lacune pe care atacatorii le pot folosi pentru a intra în sistemul dumneavoastră. Tu ar trebui efectuați actualizările de firmware și toate celelalte actualizări esențiale prin surse oficiale și de încredere.
De asemenea, este esențial să creați copii de rezervă regulate ale datelor dvs., astfel încât să vă puteți restaura sistemul în cazul în care acesta este infectat cu un rootkit sau orice alt malware.
În afară de asta, cel mai bine ar fi să practicați și măsuri de securitate de bază, cum ar fi să nu faceți clic pe linkuri necunoscute sau atașamente, nu descărcați software sau conținut piratat de pe site-uri web nedemne de încredere și nu vă partajați informațiile personale cu oricine. Acest lucru vă va ajuta protejați-vă de atacurile de inginerie socială.
Ar trebui să vă faceți griji pentru ComicStrand?
În august 2022, există foarte puține cazuri de atacuri la rootkit ComicStrand. Cu toate acestea, având în vedere sofisticarea rootkit-ului și capacitatea sa de a rămâne ascuns, este posibil să vedem mai multe atacuri în viitor. De asemenea, până acum, doar anumite plăci de bază de la Gigabyte și Asus sunt pe lista țintă a ComicStrand, dar este posibil ca și alți producători de plăci de bază să fie în pericol.
Dacă aveți o placă de bază Gigabyte sau Asus cu un chipset Intel H81, este esențial să verificați dacă sistemul dvs. este infectat și dacă detectați rootkit-ul, luați măsuri pentru a-l elimina. De asemenea, ar trebui să instalați o soluție de securitate fiabilă pentru a vă proteja sistemul de astfel de amenințări în viitor.
Deși rootkit-ul ComicStrand nu este o amenințare larg răspândită, este esențial să fii conștient de el și să iei măsuri pentru a-ți proteja sistemul.