Un actor de amenazas desconocido de habla china ha sido atribuido a un nuevo tipo de interfaz de firmware extensible unificada sofisticada (UEFI<\/a>) rootkit de firmware llamado hilo c\u00f3smico<\/strong>.<\/p>\n “El rootkit se encuentra en las im\u00e1genes de firmware de las placas base Gigabyte o ASUS, y notamos que todas estas im\u00e1genes est\u00e1n relacionadas con dise\u00f1os que utilizan el chipset H81”, investigadores de Kaspersky. dijo<\/a> en un nuevo informe publicado hoy. “Esto sugiere que puede existir una vulnerabilidad com\u00fan que permiti\u00f3 a los atacantes inyectar su rootkit en la imagen del firmware”.<\/p>\n Se dice que las v\u00edctimas identificadas son particulares ubicados en China, Vietnam, Ir\u00e1n y Rusia, sin v\u00ednculos perceptibles con ninguna organizaci\u00f3n o industria vertical.<\/p>\n Los rootkits, que son implantes de malware que son capaces de incrustarse en las capas m\u00e1s profundas del sistema operativo, se han transformado de una rareza a una ocurrencia cada vez m\u00e1s com\u00fan en el panorama de amenazas, equipando a los actores de amenazas con sigilo y persistencia durante largos per\u00edodos de tiempo.<\/p>\n Dichos tipos de malware “garantizan que una computadora permanezca en un estado infectado incluso si el sistema operativo se reinstala o el usuario reemplaza el disco duro de la m\u00e1quina por completo”, dijeron los investigadores.<\/p>\n CosmicStrand, un archivo de solo 96,84 KB, es tambi\u00e9n la segunda cepa de rootkit UEFI que se descubre este a\u00f1o despu\u00e9s de MoonBounce en enero de 2022, que se implement\u00f3 como parte de una campa\u00f1a de espionaje dirigida por el grupo de amenazas persistentes avanzadas vinculado a China (APT41) conocido como Winnti.<\/p>\n Aunque el vector de acceso inicial de las infecciones es algo misterioso, las acciones posteriores al compromiso implican la introducci\u00f3n de cambios en un controlador llamado CSMCORE DXE para redirigir la ejecuci\u00f3n del c\u00f3digo a una parte del segmento controlado por el atacante dise\u00f1ado para ejecutarse durante el inicio del sistema, lo que en \u00faltima instancia conduce al despliegue de un malware dentro de Windows.<\/p>\n En otras palabras, el objetivo del ataque es manipular el proceso de carga del sistema operativo para implementar un implante a nivel de kernel en una m\u00e1quina con Windows cada vez que se inicia, y usar este acceso arraigado para iniciar el c\u00f3digo shell que se conecta a un servidor remoto para obtener el Carga \u00fatil maliciosa real que se ejecutar\u00e1 en el sistema.<\/p>\n La naturaleza exacta del malware de siguiente etapa recibido del servidor a\u00fan no est\u00e1 clara. Lo que se sabe es que esta carga \u00fatil se recupera de “update.bokts[.]com” como una serie de paquetes que contienen datos de 528 bytes que posteriormente se vuelven a ensamblar e interpretar como shellcode.<\/p>\n Los “shellcodes recibidos del [command-and-control] El servidor podr\u00eda ser un escenario para los ejecutables PE proporcionados por el atacante, y es muy probable que existan muchos m\u00e1s”, se\u00f1al\u00f3 Kaspersky, y agreg\u00f3 que encontr\u00f3 un total de dos versiones del rootkit, una que se us\u00f3 entre finales de 2016 y mediados de 2017 , y la \u00faltima variante, que estuvo activa en 2020.<\/p>\n Curiosamente, el proveedor chino de ciberseguridad Qihoo360, que arroj\u00f3 luz sobre la versi\u00f3n anterior del rootkit<\/a> en 2017, plante\u00f3 la posibilidad de que las modificaciones del c\u00f3digo pudieran haber sido el resultado de una placa base con puerta trasera obtenida de un revendedor de segunda mano.<\/p>\n La atribuci\u00f3n de Kaspersky a un actor de amenazas de habla china se deriva de la superposici\u00f3n de c\u00f3digos entre CosmicStrand y otro malware como el MisReyes<\/a> (tambi\u00e9n conocido como smominru<\/a> y DarkCloud) botnet de criptomonedas y MoonBounce, con el primero caracterizado como un malware “implacable” que presenta una infraestructura extensa que incluye bootkits, mineros de monedas, cuentagotas y ladrones de portapapeles, entre otros.<\/p>\n “El aspecto m\u00e1s llamativo […] es que este implante UEFI parece haber sido utilizado desde fines de 2016, mucho antes de que los ataques UEFI comenzaran a describirse p\u00fablicamente”, dijeron los investigadores. “Este descubrimiento plantea una pregunta final: si esto es lo que los atacantes estaban usando entonces, \u00bfqu\u00e9 est\u00e1n usando hoy?”<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/07\/Un-nuevo-estudio-encuentra-que-la-mayoria-de-los-proveedores.png\")
<\/a><\/div>\n![\"\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/07\/1658806460_189_Expertos-descubren-el-nuevo-rootkit-de-firmware-UEFI-CosmicStrand-utilizado.jpg\")
<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/07\/1656664565_47_Amazon-parchea-silenciosamente-la-vulnerabilidad-de-gravedad-alta-en-la.jpg\")
<\/a><\/div>\n![\"\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/07\/1658806460_815_Expertos-descubren-el-nuevo-rootkit-de-firmware-UEFI-CosmicStrand-utilizado.jpg\")
<\/div>\n