I ricercatori di sicurezza informatica di Qihoo360 e Kaspersky hanno avvertito che alcune vecchie schede madri potrebbero essere infettate da malware particolarmente subdoli.
Il malware della scheda madre, le minacce persistenti comunemente note come rootkit UEFI, sono particolarmente difficili da rimuovere, poiché anche la pulizia del disco rigido non rimuove la minaccia.
Questa istanza, che Qihoo360 ha soprannominato Spy Shadow Trojan e Kaspersky ha soprannominato CosmicStrand, è stata trovata su macchine con schede madri ASUS e Gigabyte. Si trattava per lo più di hardware fuori produzione, prodotto tra il 2013 e il 2015, e Kaspersky ha notato che il rootkit del firmware UEFI può persistere sui dispositivi finché sono operativi.
Difficile compromesso da fare
Spiegando i risultati tramite Twitter, l'ex reverse engineer di Kaspersky Mark Lechtik ha affermato che le immagini del firmware compromesse sono state fornite con un driver CSMCORE DXE modificato, che consente un processo di avvio legacy, ha riferito BleepingComputer.
"Questo driver è stato modificato per intercettare la sequenza di avvio e introducervi una logica dannosa", ha affermato Lechtik.
Ciò che i ricercatori non sanno ancora è come il malware sia arrivato sui dispositivi, perché compromettere gli endpoint (si apre in una nuova scheda) con il malware UEFI implica l'accesso fisico ai dispositivi o la presenza di malware precursore che potrebbe patchare automaticamente l'immagine del firmware.
Nel caso Qihoo360, una vittima ha affermato di aver acquistato su Internet una scheda madre usata compromessa. Tra le vittime analizzate da Kaspersky c'erano persone provenienti da Cina, Iran, Vietnam e Russia, che non avevano quasi nulla in comune.
Non è chiaro chi sia l'autore della minaccia, anche se Kaspersky crede che lo stesso gruppo sia dietro la botnet di criptovalute MyKings.
Sebbene sia più difficile da rimuovere, il malware UEFI sta diventando sempre più comune. Nell'ottobre dello scorso anno, ad esempio, i ricercatori ESET per la sicurezza informatica hanno scoperto tale malware e lo hanno chiamato ESPecter. All'epoca, i ricercatori affermarono che questa minaccia era attiva almeno dal 2012 ed era utilizzata principalmente per scopi di spionaggio, poiché poteva registrare sequenze di tasti e rubare documenti.
Via: BleepingComputer (si apre in una nuova scheda)