{"id":19787,"date":"2022-08-01T14:58:26","date_gmt":"2022-08-01T17:58:26","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=19787"},"modified":"2022-08-01T15:07:05","modified_gmt":"2022-08-01T18:07:05","slug":"cosmicstrand-uefi-rootkit","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/cosmicstrand-uefi-rootkit\/19787\/","title":{"rendered":"CosmicStrand: um rootkit UEFI"},"content":{"rendered":"

Nossos pesquisadores examinaram uma nova vers\u00e3o do <\/a>\u00a0rootkit<\/a> CosmicStrand<\/a>, que encontraram no firmware MOD IFIED UEFI<\/a> (Interface de firmware extens\u00edvel, na sigla em ingl\u00eas) \u2013 o c\u00f3digo que carrega primeiro e inicia o processo de inicializa\u00e7\u00e3o do sistema operacional quando o computador \u00e9 ligado.<\/p>\n

O perigo do malware UEFI<\/h2>\n

Uma vez que o firmware UEFI est\u00e1 embutido em um chip na placa-m\u00e3e e n\u00e3o escrito para o disco r\u00edgido, ele \u00e9 imune a quaisquer manipula\u00e7\u00f5es do disco r\u00edgido. Portanto, \u00e9 muito dif\u00edcil se livrar do malware baseado em UEFI: mesmo limpando a unidade e reinstalando o sistema operacional, o UEFI seguir\u00e1 intocado. Por essa mesma raz\u00e3o, nem todas as solu\u00e7\u00f5es de seguran\u00e7a podem detectar malware oculto no UEFI. Simplificando, uma vez que o malware entrou no firmware, ele est\u00e1 l\u00e1 para ficar.<\/p>\n

\u00c9 claro que infectar o UEFI n\u00e3o \u00e9 uma tarefa simples: ele requer acesso f\u00edsico ao dispositivo, ou algum mecanismo sofisticado para infec\u00e7\u00e3o remota do firmware. Al\u00e9m disso, para alcan\u00e7ar seu objetivo final, seja l\u00e1 o que for, o malware n\u00e3o s\u00f3 tem que permanecer no UEFI, mas penetrar no sistema operacional em uma inicializa\u00e7\u00e3o, o que n\u00e3o \u00e9 nada sen\u00e3o complicado. Tudo isso requer um grande esfor\u00e7o para ser realizado, e \u00e9 por isso que esse malware \u00e9 mais frequentemente visto em ataques direcionados contra indiv\u00edduos ou organiza\u00e7\u00f5es de alto perfil.<\/p>\n

V\u00edtimas e poss\u00edveis vetores de infecc\u00e7\u00e3o do CosmicStrand<\/h2>\n

Curiosamente, as v\u00edtimas do CosmicStrand identificadas por nossos pesquisadores eram pessoas comuns usando nosso antiv\u00edrus gratuito. Eles aparentemente n\u00e3o tinham nada a ver com qualquer organiza\u00e7\u00e3o de interesse para cibercriminosos deste calibre. Tamb\u00e9m foi poss\u00edvel descobrir que as placas-m\u00e3e infectadas \u2013 em todos os casos conhecidos \u2013 vieram de apenas dois fabricantes. Portanto, \u00e9 prov\u00e1vel que os respons\u00e1veis pelo ataque encontraram alguma vulnerabilidade comum nessas placas-m\u00e3e que tornaram poss\u00edvel a infec\u00e7\u00e3o do UEFI.<\/p>\n

N\u00e3o se sabe exatamente como exatamente os cibercriminosos conseguem penetrar o malware. O fato dessas v\u00edtimas do CosmicStrand serem usu\u00e1rios comuns pode indicar que os atacantes por tr\u00e1s deste rootkit conseguem infectar o UEFI remotamente. Mas h\u00e1 outras explica\u00e7\u00f5es poss\u00edveis: por exemplo, especialistas do Qihoo 360, tendo vers\u00f5es iniciais da CosmicStrand de 2016 vintage, sugeriram<\/a> que uma das v\u00edtimas havia comprado uma placa-m\u00e3e modificada de um revendedor. Mas neste caso, nossos especialistas n\u00e3o foram capazes de confirmar o uso de qualquer m\u00e9todo de infec\u00e7\u00e3o.<\/p>\n

O que o CosmicStrand faz?<\/h2>\n

O principal objetivo da CosmicStrand \u00e9 baixar um programa malicioso na inicializa\u00e7\u00e3o do sistema operacional, que ent\u00e3o executa as tarefas definidas pelos cibercriminosos. Tendo passado com sucesso por todas as etapas do processo de inicializa\u00e7\u00e3o do sistema operacional, o rootkit eventualmente executa um c\u00f3digo shell e entra em contato com o servidor C2<\/a> dos atacantes, do qual recebe uma carga \u00fatil maliciosa.<\/p>\n

\"CosmicStrand

CosmicStrand cadeia de infec\u00e7\u00e3o por rootkit<\/p><\/div>\n

Nossos pesquisadores n\u00e3o conseguiram interceptar o arquivo recebido pelo rootkit de seu servidor C2. Em vez disso, em uma das m\u00e1quinas infectadas, eles encontraram um peda\u00e7o de malware que provavelmente est\u00e1 relacionado com CosmicStrand. Esse malware cria um usu\u00e1rio chamado \u201caaaabbbb\u201d no sistema de classifica\u00e7\u00e3o com direitos de administrador local. Para obter mais detalhes t\u00e9cnicos sobre o CosmicStrand, consulte o post de nossos pesquisadores no <\/a>Securelist<\/a>.<\/p>\n

Devemos temer esses rootkits?<\/h2>\n

Desde 2016, o CosmicStrand tem sido bem valioso para os cibercriminosos, atraindo pouca ou nenhuma aten\u00e7\u00e3o dos pesquisadores de seguran\u00e7a da informa\u00e7\u00e3o. Isso \u00e9 preocupante, \u00e9 claro, mas n\u00e3o \u00e9 t\u00e3o ruim. Primeiro, este \u00e9 um exemplo de malware sofisticado e caro usado para ataques direcionados, n\u00e3o massivos \u2013 mesmo que pessoas aparentemente aleat\u00f3rias \u00e0s vezes s\u00e3o atingidas. Em segundo lugar, existem produtos de seguran\u00e7a capazes de detectar tais malwares. Por exemplo, nossas solu\u00e7\u00f5es de seguran\u00e7a<\/a> protegem nossos usu\u00e1rios contra rootkits.<\/p>\n

\"Fique<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Nossos especialistas descobriram uma nova vers\u00e3o do CosmicStrand, um rootkit que se esconde dos pesquisadores no firmware UEFI.<\/p>\n","protected":false},"author":2477,"featured_media":19792,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1260],"tags":[218,3026,415,3027,2462],"class_list":{"0":"post-19787","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-ameacas","9":"tag-cosmicstrand","10":"tag-great","11":"tag-rootkit","12":"tag-uefi"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/cosmicstrand-uefi-rootkit\/19787\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/cosmicstrand-uefi-rootkit\/24412\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/cosmicstrand-uefi-rootkit\/19878\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/cosmicstrand-uefi-rootkit\/10046\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/cosmicstrand-uefi-rootkit\/26807\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/cosmicstrand-uefi-rootkit\/24713\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/cosmicstrand-uefi-rootkit\/25108\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/cosmicstrand-uefi-rootkit\/27453\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/cosmicstrand-uefi-rootkit\/27118\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/cosmicstrand-uefi-rootkit\/33702\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/cosmicstrand-uefi-rootkit\/10893\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/cosmicstrand-uefi-rootkit\/45017\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/cosmicstrand-uefi-rootkit\/19233\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/cosmicstrand-uefi-rootkit\/29085\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/cosmicstrand-uefi-rootkit\/25300\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/cosmicstrand-uefi-rootkit\/30778\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/cosmicstrand-uefi-rootkit\/30524\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/rootkit\/","name":"rootkit"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/19787","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/2477"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=19787"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/19787\/revisions"}],"predecessor-version":[{"id":19793,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/19787\/revisions\/19793"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/19792"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=19787"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=19787"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=19787"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}