A renomada empresa de segurança Kaspersky publicou um alerta no início dessa semana sobre um poderoso vírus. O malware em questão é do tipo rootkit, ou seja, um dos mais poderosos. Ele é conhecido como CosmicStrand e foi encontrado em placas-mãe da ASUS e Gigabyte.
Leia também
Malware Grandoreiro chega em fatura falsa da Vivo e rouba dados bancários
Qual foi o primeiro antivírus do mundo?
O que é um rootkit?
Antes de mais nada, preciso esclarecer o que é um rootkit. Trata-se de um tipo de vírus bem difícil de detectar e remover. Isso porque ele se instala em locais “bem escondidos” do sistema operacional. Mas, em alguns casos, o malware se instala no firmware da máquina. Por isso é praticamente impossível que um software de antivírus consiga detectar um rootkit.
No caso do CosmicStrand, ele se instala no firmware de placas-mãe. Portanto, podemos dizer que este vírus é um “rootkit de UEFI”.
UEFI (Unified Extensible Firmware Interface), por sua vez, é o substituto da antiga BIOS do computador. Traduzindo em termos mais simples, é como se fosse o programa que fará a intermediação entre o hardware da máquina e o sistema operacional. Por isso, o UEFI é carregado e executado antes do Windows, assim que você liga o computador.
Se um vírus se instala no UEFI, ele também é ativado assim que você liga o PC. Devido a isso é muito difícil detectar e remover um rootkit de UEFI.
Como funciona o rootkit CosmicStrand?
Conforme divulgado pela Kaspersky, o malware CosmicStrand está na ativa desde 2020. Ao infectar um firmware de placa-mãe, ele altera os fluxos de execução do processo de boot do computador. Devido a isso o vírus consegue acesso a áreas importantes do kernel do Windows. O kernel é o núcleo do sistema operacional e a sua parte mais importante.
Descobriu-se que ao ligar o computador, o CosmicStrand carrega um código malicioso no Windows. Infelizmente, os pesquisadores da Kaspersky não conseguiram descobrir o que esse código malicioso faz. Mas, em teoria, pode ser qualquer coisa. Por exemplo, roubar dados sigilosos, baixar e executar programas maliciosos e até mesmo usar a máquina em ataques DDoS.
Entretanto, a suspeita dos pesquisadores é de que o CosmicStrand esteja ligado ao grupo chinês que controla botnets de mineração de criptomoedas. Portanto, os computadores infectados com este rootkit podem estar sendo usados para minerar criptomoedas sem que os seus donos saibam.
Quais computadores são afetados?
O rootkit CosmicStrand afeta placas-mãe com o chipset Intel H81. Trata-se de um chipset bem popular no passado, mas que já não é usado há alguns anos em máquinas mais recentes. O Intel H81 foi lançado em 2013 e projetado para trabalhar com os processadores de quarta geração da Intel (Haswell).
Portanto, se seu desktop ou notebook for recente, não há motivos para se preocupar. De qualquer maneira, basta descobrir qual é o chipset de sua placa-mãe. Se for qualquer um diferente do Intel H81, você está livre do CosmicStrand. Não há relatos de que outros chipsets tenham sido contaminados.
Até o momento, foram encontradas placas-mãe da ASUS e da Gigabyte infectadas com o rootkit.
CosmicStrand é a evolução de um malware mais antigo
O rootkit CosmicStrand está na ativa desde 2020 e foi descoberto pela Kaspersky, que nomeou a ameaça. Porém, acredita-se que este vírus seja uma nova versão do Spy Shadow Trojan. Este malware, por sua vez, foi descoberto em 2017 pela empresa de segurança chinesa Qihoo 360. No entanto, o Spy Shadow Trojan iniciou suas atividades em 2016.
Os servidores que comandam os dois malwares são os mesmos. Portanto, acredita-se que o CosmicStrand nada mais é do que uma versão atualizada (e mais perigosa) do Spy Shadow Trojan.
Outro fator intrigante é que os servidores passam longos períodos desativados. Eles só são ativados em momentos específicos. Essa estratégia faz sentido quando lembramos que o rootkit é um vírus difícil de ser detectado e removido. Portanto, mesmo que passe longos períodos, os servidores ainda vão conseguir comandar o vírus.
Mesmo que a máquina seja formatada o rootkit continua lá, pois é instalado no firmware. A única maneira de se livrar da praga é atualizando ou reinstalando o firmware. Coisa que pouca gente se dá ao trabalho de fazer.
A pergunta que não quer calar
Como o CosmicStrand infecta as placas-mãe? A modificação do firmware UEFI exige necessariamente acesso físico à máquina. Então não é possível disseminar esse rootkit de forma remota.
As placas-mãe contaminadas foram encontradas na China, Irã, Rússia e Vietnã. Ainda não sabemos com precisão como essas placas-mãe foram infectadas, mas a Qihoo 360 tem um palpite. A empresa acredita que as placas-mãe da ASUS e Gigabyte tenham sido infectadas em uma revenda para placas de segunda mão. No entanto, não há nenhuma prova que sustente essa hipótese.
Fontes: Kaspersky via Ars Technica
Veja também
Sobre o Autor
Deixe seu comentário