rootkit
Nossos pesquisadores examinaram uma nova versão do rootkit CosmicStrand, que encontraram no firmware MOD IFIED UEFI (Interface de firmware extensível, na sigla em inglês) – o código que carrega primeiro e inicia o processo de inicialização do sistema operacional quando o computador é ligado.
O perigo do malware UEFI
Uma vez que o firmware UEFI está embutido em um chip na placa-mãe e não escrito para o disco rígido, ele é imune a quaisquer manipulações do disco rígido. Portanto, é muito difícil se livrar do malware baseado em UEFI: mesmo limpando a unidade e reinstalando o sistema operacional, o UEFI seguirá intocado. Por essa mesma razão, nem todas as soluções de segurança podem detectar malware oculto no UEFI. Simplificando, uma vez que o malware entrou no firmware, ele está lá para ficar.
É claro que infectar o UEFI não é uma tarefa simples: ele requer acesso físico ao dispositivo, ou algum mecanismo sofisticado para infecção remota do firmware. Além disso, para alcançar seu objetivo final, seja lá o que for, o malware não só tem que permanecer no UEFI, mas penetrar no sistema operacional em uma inicialização, o que não é nada senão complicado. Tudo isso requer um grande esforço para ser realizado, e é por isso que esse malware é mais frequentemente visto em ataques direcionados contra indivíduos ou organizações de alto perfil.
Vítimas e possíveis vetores de infeccção do CosmicStrand
Curiosamente, as vítimas do CosmicStrand identificadas por nossos pesquisadores eram pessoas comuns usando nosso antivírus gratuito. Eles aparentemente não tinham nada a ver com qualquer organização de interesse para cibercriminosos deste calibre. Também foi possível descobrir que as placas-mãe infectadas – em todos os casos conhecidos – vieram de apenas dois fabricantes. Portanto, é provável que os responsáveis pelo ataque encontraram alguma vulnerabilidade comum nessas placas-mãe que tornaram possível a infecção do UEFI.
Não se sabe exatamente como exatamente os cibercriminosos conseguem penetrar o malware. O fato dessas vítimas do CosmicStrand serem usuários comuns pode indicar que os atacantes por trás deste rootkit conseguem infectar o UEFI remotamente. Mas há outras explicações possíveis: por exemplo, especialistas do Qihoo 360, tendo versões iniciais da CosmicStrand de 2016 vintage, sugeriram que uma das vítimas havia comprado uma placa-mãe modificada de um revendedor. Mas neste caso, nossos especialistas não foram capazes de confirmar o uso de qualquer método de infecção.
O que o CosmicStrand faz?
O principal objetivo da CosmicStrand é baixar um programa malicioso na inicialização do sistema operacional, que então executa as tarefas definidas pelos cibercriminosos. Tendo passado com sucesso por todas as etapas do processo de inicialização do sistema operacional, o rootkit eventualmente executa um código shell e entra em contato com o servidor C2 dos atacantes, do qual recebe uma carga útil maliciosa.
CosmicStrand cadeia de infecção por rootkit
Nossos pesquisadores não conseguiram interceptar o arquivo recebido pelo rootkit de seu servidor C2. Em vez disso, em uma das máquinas infectadas, eles encontraram um pedaço de malware que provavelmente está relacionado com CosmicStrand. Esse malware cria um usuário chamado “aaaabbbb” no sistema de classificação com direitos de administrador local. Para obter mais detalhes técnicos sobre o CosmicStrand, consulte o post de nossos pesquisadores no Securelist.
Devemos temer esses rootkits?
Desde 2016, o CosmicStrand tem sido bem valioso para os cibercriminosos, atraindo pouca ou nenhuma atenção dos pesquisadores de segurança da informação. Isso é preocupante, é claro, mas não é tão ruim. Primeiro, este é um exemplo de malware sofisticado e caro usado para ataques direcionados, não massivos – mesmo que pessoas aparentemente aleatórias às vezes são atingidas. Em segundo lugar, existem produtos de segurança capazes de detectar tais malwares. Por exemplo, nossas soluções de segurança protegem nossos usuários contra rootkits.
Dicas