El rootkit malicioso fue detectado en placas base de Asus y Gigabyte que comparten el chipset H81 y que fueron lanzadas entre 2013 y 2015, lo que indica que estos equipos pueden tener una vulnerabilidad compartida. Kaspersky predice que este tipo de ataques será más común en los próximos años, al igual que el gobierno de los Estados Unidos, que publicó un informe en febrero de 2022 en el que se detallaba que el aumento del malware UEFI era una “tendencia alarmante” y que los ataques de este tipo vistos in the wild “eran antes sólo teóricos.”
Los rootkits son atractivos para los atacantes porque son difíciles de encontrar e investigar, ya que están incrustados en la imagen del firmware de una placa base. Como consecuencia del bajo riesgo de detección, proporcionan importantes capacidades a los atacantes. Según el informe, es probable que la computadora quede permanentemente infectada con el rootkit.
Los investigadores no pudieron determinar cómo se infectaron las víctimas en primer lugar, pero una investigación anterior de Qihoo360 sobre una variante temprana descubierta en 2017 afirmó que una víctima compró una placa base infectada a un comerciante de segunda mano, aunque esto no se ha confirmado.
Los investigadores añadieron que el desarrollo de un rootkit de este calibre es especialmente difícil, debido al hecho de que un contexto de ejecución UEFI termina antes de que se cargue Windows, lo que hace más difícil transponer el código UEFI a Windows.
Dados los conocimientos técnicos necesarios para construirlo, los expertos creen que es aún más intrigante que las víctimas parezcan ser particulares, sin relación con ninguna organización o industria. En efecto, los desarrolladores de malware suelen dirigirse a personas de alto valor para exfiltrar información o instalar cargas útiles, como el ransomware, en campañas con motivación económica.
Cada vez que se carga el sistema operativo (SO), el implante a nivel del kernel instala un componente malicioso en Windows. Una vez que la cadena de infección se ha completado y el implante está vinculado a la infraestructura C2 del ciberdelincuente, los atacantes pueden introducir código malicioso en el implante, que luego se ensamblará en shellcode.
Kaspersky declaró que, aunque pudo capturar y analizar un ejemplo de este shellcode, cree que hay muchos más que no pudo encontrar. Según su análisis, el código parecía intentar crear un nuevo usuario en el equipo de la víctima. Según los investigadores, los shellcodes podrían ser preparadores de ejecutables portátiles suministrados por el atacante, un formato de archivo de Windows que envuelve código ejecutable, bibliotecas de enlace dinámico (DLL) y otro código para su uso posterior.
Los investigadores afirmaron que no están seguros de quién o qué grupo es el responsable del ataque, pero hay indicios de que un atacante de habla china podría estar detrás de él.
Las similitudes en algunos fragmentos de código entre CosmicStrand y la red de bots MyKings hacen pensar a Kaspersky que podría ser obra de un atacante de habla china. ESET descubrió los artefactos en 2020, y los investigadores declararon entonces que habían observado varios artefactos que mostraban el idioma chino.
CosmicStrand y MyKings utilizan el mismo rootkit MBR para establecer la persistencia, generan paquetes de red de la misma manera y tienen el mismo código hash de la API. Según Kaspersky, el algoritmo utilizado sólo se ha observado en dos ocasiones: en MoonBounce y xTalker, ambos vinculados a actores de amenazas de habla china.
“Los numerosos rootkits descubiertos hasta ahora demuestran un punto ciego en nuestra industria que debe ser abordado lo antes posible”, dijeron los investigadores. El aspecto más llamativo de este informe es que este implante UEFI parece haber estado en uso desde finales de 2016… Este descubrimiento nos lleva a preguntarnos: “¿Qué están usando los atacantes hoy en día si esto es lo que estaban usando entonces?”, concluye preguntando Kaspersky en su informe.
