Ваша материнская плата может быть заражена каким-то серьезным вредоносным ПО.
26 июля 2022 г.Исследователи по кибербезопасности из Qihoo360 и Kaspersky предупредили, что некоторые старые материнские платы могут быть заражены уникально коварным вредоносным ПО.
Материнская плата вредоносное ПО, постоянные угрозы, обычно известные как руткиты UEFI, особенно трудно удалить, поскольку даже очистка жесткого диска не устраняет угрозу.
Этот экземпляр, который Qihoo360 окрестил Spy Shadow Trojan, а Kaspersky назвал CosmicStrand, был обнаружен на машинах с материнскими платами ASUS и Gigabyte. В основном это было аппаратное обеспечение, снятое с производства в период с 2013 по 2015 год, при этом "Лаборатория Касперского" отмечает, что руткит прошивки UEFI может сохраняться на устройствах, пока они работают.
Сложный компромисс
Объясняя свои выводы через Twitter, бывший реверс-инженер «Лаборатории Касперского» Марк Лехтик сказал, что скомпрометированные образы встроенного ПО поставлялись с модифицированным драйвером CSMCORE DXE, который обеспечивает устаревший процесс загрузки, сообщает BleepingComputer.
< p>«Этот драйвер был изменен таким образом, чтобы перехватывать последовательность загрузки и внедрять в нее вредоносную логику», — сказал Лехтик.Чего исследователи пока не знают, так это того, как вредоносное ПО попало на устройства, поскольку компрометация конечных точек с помощью вредоносного ПО UEFI предполагает либо физический доступ к устройствам, или наличие вредоносного ПО-предшественника, которое могло бы автоматически исправлять образ встроенного ПО.
В деле Qihoo360 жертва заявила, что купила уже скомпрометированную бывшую в употреблении материнскую плату в Интернете. Среди жертв, которых проанализировал «Лаборатория Касперского», были частные лица из Китая, Ирана, Вьетнама и России, между которыми почти ничего общего не было.
Трудно определить, кто является злоумышленником, хотя «Лаборатория Касперского» считает, что это одна и та же группа. стоит за ботнетом для майнинга криптовалюты MyKings.
Вредоносное ПО UEFI становится все более распространенным, несмотря на то, что его сложнее вывести из строя. Например, в октябре прошлого года исследователи кибербезопасности из ESET обнаружили такое вредоносное ПО и назвали его ESPecter. Тогда исследователи утверждали, что эта угроза была активна по крайней мере с 2012 года и использовалась в основном для шпионажа, так как могла кейлоггерить и красть документы.
- Вот наш обзор лучших брандмауэров
Через: BleepingComputer
Оригинал