Un rootkit è uno dei tipi più pericolosi di malware che possono infettare il tuo computer. Nel luglio 2022, Kaspersky ha scoperto un rootkit che prende di mira specificamente il firmware UEFI delle schede madri Gigabyte e Asus con chipset Intel H81. Questo rootkit, chiamato CosmicStrand, potrebbe essere una grave minaccia per il tuo computer poiché gli attori ATP (Advanced Persistent Threats) sono il suo sviluppatore.
Sono notoriamente famosi per creare minacce mortali per accedere e controllare computer e reti. Sorprendentemente, gli attacchi massimi di CosmicStrand si sono verificati a cittadini locali di Cina, Russia, Vietnam e Iran invece che a organizzazioni imprenditoriali.
Cos'è CosmicStrand e cosa fa?
CosmicStrand è un rootkit che offre agli aggressori il controllo completo del tuo computer senza che tu sappia niente. Non viene rilevato da alcun tipo di misura di sicurezza tradizionale dopo essere stato installato di nascosto sul Firmware UEFI del tuo dispositivo Windows.
A parte questo, il rootkit CosmicStrand ha la capacità di rimanere nascosto sul dispositivo della vittima anche dopo che il sistema operativo Windows è stato reinstallato o riparato. Questa capacità lo rende molto pericoloso e qualcosa che non puoi prendere alla leggera.
Questo rootkit consente all'attaccante di fare tutto ciò che vuole sul tuo computer, incluso il furto di informazioni sensibili, l'installazione di altro malware e persino il controllo dell'intero sistema.
Come viene installato CosmicStrand sui computer?
Secondo il ricercatore del Kaspersky, gli hacker sono stati in grado di installare CosmicStrand sul firmware della vittima apportando modifiche al driver CSMCORE DXE. Questa modifica obbliga il driver a eseguire una serie di codici all'avvio del sistema che attiva il download e l'installazione del componente CosmicStrand.
Esaminando le immagini del firmware infetto, i ricercatori hanno scoperto che gli aggressori hanno apportato modifiche al CSMCORE driver DXE ottenendo l'accesso preliminare al computer della vittima e sovrascrivendo il firmware per introdurre l'automazione rattoppatore. Questo patcher automatico è responsabile del reindirizzamento del punto di ingresso del driver CSMCORE DXE al codice dannoso memorizzato nel file RELOC dell'eseguibile.
Come puoi proteggere il tuo sistema da CosmicStrand e altri rootkit?
Il modo migliore per proteggere il tuo sistema da CosmicStrand e altri rootkit è installare una solida soluzione di sicurezza in grado di rilevare e rimuovere tali minacce.
Dovresti anche mantenere il tuo sistema operativo e tutto il software aggiornati con le ultime patch di sicurezza. Ciò contribuirà a chiudere eventuali scappatoie che gli aggressori possono utilizzare per entrare nel tuo sistema. Dovresti eseguire gli aggiornamenti del firmware e tutti gli altri aggiornamenti essenziali tramite fonti ufficiali e affidabili.
È inoltre essenziale creare backup regolari dei dati in modo da poter ripristinare il sistema nel caso venga infettato da un rootkit o da qualsiasi altro malware.
Oltre a questo, sarebbe meglio se pratichi anche misure di sicurezza di base come non fare clic su collegamenti sconosciuti o allegati, non scaricare software o contenuti piratati da siti Web non affidabili e non condividere le tue informazioni personali con chiunque. Questo ti aiuterà proteggiti dagli attacchi di ingegneria sociale.
Dovresti preoccuparti di ComicStrand?
Ad agosto 2022, ci sono pochissimi casi di attacchi rootkit di ComicStrand. Tuttavia, data la sofisticatezza del rootkit e la sua capacità di rimanere nascosto, potremmo vedere più attacchi in futuro. Inoltre, finora, solo specifiche schede madri di Gigabyte e Asus sono nell'elenco degli obiettivi di ComicStrand, ma è possibile che anche altri produttori di schede madri siano a rischio.
Se hai una scheda madre Gigabyte o Asus con un chipset Intel H81, è essenziale verificare se il tuo sistema è infetto e se rilevi il rootkit, prendi le misure per rimuoverlo. Dovresti anche installare una soluzione di sicurezza affidabile per proteggere il tuo sistema da tali minacce in futuro.
Sebbene il rootkit di ComicStrand non sia una minaccia diffusa, è fondamentale esserne consapevoli e adottare misure per proteggere il sistema.