Malware sofisticado é descoberto em placas-mãe da Asus e Gigabyte

Identificado pela Kaspersky, CosmicStrand é um rootkit de UEFI, capaz de entrar em ação antes de o Windows ser carregado

Emerson Alecrim
Por
• Atualizado há 6 meses
Placa-mãe (imagem: Laurel L. Russwurm/Pixabay)
Placa-mãe (imagem: Laurel L. Russwurm/Pixabay)

O universo dos malwares é fascinante (e preocupante) porque as ameaças podem vir até de lugares improváveis. Nesta semana, a Kaspersky alertou para um sofisticado rootkit que entra em ação antes de o sistema operacional carregar. Chamado de CosmicStrand, o malware foi encontrado em PCs com placas-mãe Asus e Gigabyte.

A praga não explora nenhum meio novo para contaminar a máquina, mas segue por um caminho pouco comum. Em vez de contaminar o Windows diretamente (ou outro sistema operacional), o CosmicStrand se aloja no firmware da placa-mãe — estamos falando de um rootkit de UEFI.

Um rootkit é um malware de difícil detecção e remoção. Isso porque a ameaça se instala nas “profundezas” do sistema operacional ou, como é o caso aqui, se esconde dentro de um firmware.

Já o UEFI (Unified Extensible Firmware Interface) é uma espécie de intermediador entre o sistema operacional e o hardware do computador, razão pela qual é executado assim que a máquina é ligada.

Se o rootkit está “grudado” no UEFI, o malware também é executado assim que o PC é ligado. É aí que os problemas começam.

O rootkit CosmicStrand

De acordo com a Kaspersky, o CosmicStrand está ativo pelo menos desde 2020 e foi encontrado em placas-mãe com chipset Intel H81. Esse é um chipset relativamente antigo, afinal, foi anunciado em 2013 para funcionar com processadores Intel de quarta geração (Haswell).

Isso significa que, se o seu PC é baseado em um processador mais recente ou tem um chipset diferente do Intel H81, ele não está sujeito às ações do CosmicStrand. Bom, pelo menos não há sinal, até o momento, de que outros chipsets tenham sido comprometidos. Então, nada de pânico.

Mas, nas máquinas vulneráveis, o problema merece atenção. O rootkit consegue modificar fluxos de execução do processo de inicialização e acessar recursos específicos do kernel do Windows.

Teoricamente, essa abordagem dá margem para uma série de ações maliciosas, que vão de captura de dados sigilosos à execução de softwares maliciosos.

Os pesquisadores da Kaspersky revelam que o CosmicStrand faz o Windows carregar justamente um código malicioso. Eles não conseguiram ter acesso a essa carga de software. Mas a suspeita é a de que se trate de alguma ferramenta ligada a um grupo chinês que controla a botnet de mineração de criptomoedas MyKings.

Com base nisso, podemos presumir que as máquinas afetadas pelo CosmicStrand foram usadas para minerar criptomoeda. Mas outras ações maliciosas não estão descartadas.

Um malware em ação desde 2016

O nome CosmicStrand foi atribuído ao rootkit pela Kaspersky, mas há indícios de que o malware é uma versão do Spy Shadow Trojan, praga identificada pela chinesa Qihoo 360 em 2017, mas que estaria em atuação pelo menos desde 2016.

Também há indícios de que os servidores que comandam o malware — para facilitar, tratemos o CosmicStrand e o Spy Shadow Trojan como uma coisa só — estiveram inativos por longos períodos. Essa constatação levanta a hipótese de que o rootkit tenha sido acionado em momentos específicos, talvez para finalidades distintas.

O acionamento em momentos específicos faz sentido se levarmos em conta que o CosmicStrand é uma ameaça persistente. Ela não pode ser removida facilmente do computador. Como o malware se aloja no firmware, nem formatar a máquina resolve o problema.

Atualizar ou reinstalar o firmware é a saída mais lógica. Mas isso só faz sentido se o rootkit for detectado. Essa não é uma tarefa fácil, porém. O CosmicStrand adota algumas estratégias que dificultam a sua detecção por ferramentas de segurança.

Países em que o CosmicStrand foi encontrado (imagem: Securylist/Kaspersky)
Países em que o CosmicStrand foi encontrado (imagem: Securylist/Kaspersky)

Uma pergunta que os pesquisadores ainda não conseguiram responder é: como o CosmicStrand infecta um computador? É uma dúvida muito pertinente. PCs contaminados foram identificados na China, Vietnã, Irã e Rússia, o que sugere uma ação viral. Por outro lado, via de regra, a manipulação de um firmware UEFI exige acesso físico à máquina.

Uma possibilidade levantada pela Qihoo 360 é a de que as unidades comprometidas tenham sido contaminadas por uma revenda de placas-mãe de segunda mão. Mas não há provas de que isso tenha acontecido.

De todo modo, o caso serve de alerta. A indústria precisa olhar com mais atenção para problemas de segurança envolvendo UEFI e firmwares como um todo.

Com informações: Ars Technica.

Receba mais sobre Asus na sua caixa de entrada

* ao se inscrever você aceita a nossa política de privacidade
Newsletter
Emerson Alecrim

Emerson Alecrim

Repórter

Emerson Alecrim cobre tecnologia desde 2001 e entrou para o Tecnoblog em 2013, se especializando na cobertura de temas como hardware, sistemas operacionais e negócios. Formado em ciência da computação, seguiu carreira em comunicação, sempre mantendo a tecnologia como base. Em 2022, foi reconhecido no Prêmio ESET de Segurança em Informação. Em 2023, foi reconhecido no Prêmio Especialistas, em eletroeletrônicos. Participa do Tecnocast, já passou pelo TechTudo e mantém o site Infowester.

Relacionados

Asus faz recall de placa-mãe com capacitor ao contrário que pega fogo
Asus faz recall de placa-mãe com capacitor ao contrário que pega fogo
Gigabyte é alvo de hackers que ameaçam expor 112 GB de dados sigilosos
Gigabyte é alvo de hackers que ameaçam expor 112 GB de dados sigilosos
Asus lança notebook ROG com RTX 4090 e atualiza linha TUF Gaming no Brasil
Asus lança notebook ROG com RTX 4090 e atualiza linha TUF Gaming no Brasil
Asus ROG revela notebooks gamer com Intel de 13ª geração e GeForce RTX 4090
Asus ROG revela notebooks gamer com Intel de 13ª geração e GeForce RTX 4090
Asus lança no Brasil notebook ultrafino Zenbook S 13 OLED
Asus lança no Brasil notebook ultrafino Zenbook S 13 OLED
Centenas de placas-mãe MSI têm o Secure Boot ativado, mas ele não funciona
Centenas de placas-mãe MSI têm o Secure Boot ativado, mas ele não funciona
Novo malware para atacar macOS pode tirar screenshots e roubar arquivos
Novo malware para atacar macOS pode tirar screenshots e roubar arquivos
O que é vírus? [e a diferença para malware]
O que é vírus? [e a diferença para malware]
Asus VivoBook 13 Slate é um notebook que vira tablet com tela OLED
Asus VivoBook 13 Slate é um notebook que vira tablet com tela OLED
Celular gamer da Asus tem orifício na traseira para encaixar ventoinha
Celular gamer da Asus tem orifício na traseira para encaixar ventoinha