Malware perigoso ataca motherboards e sobrevive à reinstalação do Windows

Malware perigoso ataca motherboards e sobrevive à reinstalação do Windows

29 Julho, 2022 0 Por Joel Pinto

Depois de de revelar o malware MoonBounce no início deste ano, a equipa de pesquisa de ameaças à segurança da Kaspersky descobriu outro rootkit, um software embutido num computador que pode dar aos invasores acesso de administrador, chamado “CosmicStrand”.

Este último não seria novo, pois seria uma evolução de um malware anterior chamado Spy Shadow Trojan, que já havia sido descoberto em 2016. Os pesquisadores encontraram o malware CosmicStrand no firmware das motharboards da Asus e da Gigabyte.

As motherboards infectadas que a Kaspersky examinou, estava todas equipadas com o chipset H81 da Intel, sugerindo "a existência de uma vulnerabilidade comum que permitia que invasores injectassem o seu rootkit na imagem do firmware". E para quem não sabe, a Intel descontinuou esse chipset em 2020, 7 anos depois de ter sido apresentado.

A Kaspersky esclarece que o ComicStrand entrega um implante em nível de kernel num sistema Microsoft Windows sempre que o computador é inicializado, porque os hackers modificaram a interface entre o Windows e o firmware de inicialização, uma interface conhecida como UEFI. Esse UEFI veio substituir a interface de firmware BIOS (Basic Input/Output System) mais antiga.

Isso consiste num chip de memória flash, soldado à motherboard de um computador. É o primeiro software a ser executado quando um sistema é inicializado, permitindo aceder, e controlar, todos os componentes de hardware, bem como várias partes do sistema operativo da máquina. Como o UEFI está dentro de um chip de memória, o malware injectado nele pode sobreviver a reinicializações, reformatação e reinstalações do sistema operativo, permitindo que os agentes de ameaças mantenham a sua presença nas máquinas comprometidas.

malware  CosmicStrand

CosmicStrand é o mais recente malware a ser descoberto que ataca as motherboards

As vítimas do CosmicStrand parecem ser indivíduos da China, Vietname, Irão e Rússia. Segundo a Kaspersky, o CosmicStrand é utilizado por um agente de ameaça desconhecido, que fala chinês. Ele partilha características de código com o malware conhecido como MyKings, utilizado usado para infectar servidores com software de mineração de criptomoedas.

Já deixou o seu like na nossa página do Facebook? Receba toda a informação em primeira mão. Siga-nos também no Google Notícias, basta selecionar-nos entre os seus favoritos clicando na estrela.