Investigadores de Kaspersky descubrieron un nuevo rootkit llamado “CosmicStrand” en equipos procedentes de China, Irán, Vietnam y Rusia. El rootkit ha sido clasificado como una «amenaza persistente avanzada» (APT) debido a su capacidad de reinstalarse en los sistemas después de una instalación nueva de Windows, gracias a su capacidad de instalarse en la UEFI de la placa.
Este Malware es una variante del virus que infecto sistemas en 2016/2017 apodado «Spy Dragon Trojan». Según la empresa que lo descubrió, el rootkit funciona en equipos Windows y se encontró en placas ASUS y Gigabyte. La única forma de limpiar un sistema infectado por este malware es reinstalar el UEFI de la placa madre. Ninguna cantidad de nuevas instalaciones de Windows eliminará este malware de su sistema, ya que las nuevas instalaciones de Windows simplemente se volverían a infectar.
Por ahora no se sabe de dónde vino este Malware o como llego a los sistemas infectados. Lo que se sabe es que se necesita acceso presencial al equipo para infectarlo. Kaspersky recomienda que las empresas actualicen periódicamente el firmware de sus sistemas y que solo utilicen firmware de proveedores de confianza para evitar que sus sistemas se vean afectados por esta amenaza.
A continuación, se muestra un comentario de Ivan Kwiatkowski de Kaspersky, un investigador sénior de seguridad.
A pesar de haber sido descubierto recientemente, el rootkit de firmware CosmicStrand UEFI parece haberse implementado durante bastante tiempo. Esto indica que algunos actores de amenazas han tenido capacidades muy avanzadas que han logrado mantener bajo el radar. Nos quedamos preguntándonos qué nuevas herramientas han creado mientras tanto que aún tenemos que descubrir.