Después de sacar a la luz el malware MoonBounce a principios de este año, el equipo de investigación de amenazas de seguridad del fabricante de antivirus Kaspersky descubrió otro rootkit, un software implantado en una computadora que puede dar a los atacantes acceso de administrador, llamado “CosmicStrand”. Este último no sería nuevo, ya que sería una evolución de un malware anterior llamado Spy Shadow Trojan que se descubrió ya en 2016.
Un rootkit es un software implantado en una computadora que puede dar a los atacantes acceso de administrador donde el sistema lo habría denegado de otro modo.
En este caso, podría haberse usado para permitir que los atacantes instalen más malware, roben datos y usen las máquinas en botnets.
El objetivo de esta cadena de ejecución es implementar un implante a nivel de kernel en un sistema Windows cada vez que se inicia, a partir de un componente UEFI infectado, segun Kaspersky.
Cabe destacar que este reside en un chip de memoria flash, soldado a la placa base de una computadora. Es el primer software que se ejecuta cuando se inicia un sistema, lo que le permite acceder y controlar todos los componentes de hardware, así como varias partes del sistema operativo de la máquina . Como UEFI está dentro de un chip de memoria, el malware inyectado en él puede sobrevivir a reinicios, formateos y reinstalaciones de sistemas operativos, lo que permite a los actores de amenazas mantener su presencia en máquinas comprometidas por lo que, si fuiste victima de esta amenaza, deberas checar bien que tu equipo sea este 100% libre de esta amenaza.
Lo mejor que podemos hacer ante este tipo de amenazas es comprar accesorios de computadora solo en paginas oficiales para evitar ser víctimas de los troyanos spyware.
Kaspersky dijo que, los múltiples rootkits descubiertos hasta ahora evidencian un punto ciego en nuestra industria que debe abordarse lo antes posible.
