Ce malware infecte votre carte mère et est presque impossible à supprimer
Des chercheurs ont découvert des logiciels malveillants qui infectent secrètement des systèmes équipés de cartes mères Asus et Gigabyte depuis au moins six ans.
Depuis 2016, des pirates parlant chinois infiltrent les machines avec le malware CosmicStrand, selon un rapport de Bleeping Computer .
Notamment, une fois le code malveillant distribué, il reste largement non détecté dans les images du firmware de certaines cartes mères. Cette méthode particulière de ciblage des images de micrologiciel est classée comme rootkit UEFI (Unified Extensible Firmware Interface).
La souche a été nommée CosmicStrand par des chercheurs travaillant pour la société de cybersécurité Kaspersky. Cependant, une version précédente du malware – surnommée Spy Shadow Trojan – a été initialement découverte par les analystes de Qihoo360.
Pour référence, UEFI est une application importante qui associe un système d'exploitation au micrologiciel du matériel lui-même. En tant que tel, le code UEFI est ce qui s'exécute au démarrage initial d'un ordinateur, avant même toute mesure de sécurité du système.
Par conséquent, les logiciels malveillants qui ont été placés dans l'image du micrologiciel UEFI sont extrêmement efficaces pour échapper aux mesures de détection. Plus inquiétant, cependant, est le fait que le logiciel malveillant ne peut techniquement pas être supprimé en effectuant une réinstallation propre du système d'exploitation. Vous ne pouvez même pas vous en débarrasser en remplaçant le lecteur de stockage.
"Ce pilote a été modifié de manière à intercepter la séquence de démarrage et à y introduire une logique malveillante", a déclaré Mark Lechtik, qui travaillait auparavant comme rétro-ingénieur chez Kaspersky.
Kaspersky a déclaré avoir découvert que le rootkit CosmicStrand UEFI avait été découvert dans les images de firmware des cartes mères Gigabyte ou Asus utilisant le chipset H81, qui est associé au matériel vendu entre 2013 et 2015.
Les victimes de CosmicStrand étaient des particuliers situés en Chine, en Iran, au Vietnam et en Russie, et les liens avec un État-nation, une organisation ou une industrie n'ont donc pas pu être établis. Cela dit, les chercheurs ont confirmé un lien CosmicStrand avec un acteur menaçant de langue chinoise en raison de modèles de code qui ont fait leur apparition dans un botnet de cryptominage séparé.
Kaspersky a souligné que le rootkit du micrologiciel CosmicStrand UEFI peut plus ou moins rester indéfiniment sur un système infecté.
Le malware UEFI a été signalé pour la première fois en 2018 par une autre société de sécurité en ligne, ESET. Connu sous le nom de LoJax, il était utilisé par des hackers russes appartenant au groupe APT28. Depuis lors, le nombre de rootkits basés sur UEFI infectant les systèmes n'a cessé d'augmenter, ce qui inclut ESPecter, un kit qui aurait été déployé à des fins d'espionnage depuis 2012.
Ailleurs, les analystes de la sécurité ont déclaré avoir détecté plus tôt cette année le micrologiciel UEFI "le plus avancé" sous la forme de MoonBounce.
L'année a été chargée pour les groupes et les pirates impliqués dans la communauté des logiciels malveillants. Plus récemment, les acteurs de la menace ont réussi à utiliser Microsoft Calculator pour distribuer du code malveillant , tandis que Microsoft lui-même a lancé une nouvelle initiative offrant aux entreprises un accès à ses services de sécurité internes.