La empresa de ciberseguridad Kaspersky detectó un rootkit UEFI al que han apodado como CosmicStand gracias a su antivirus y al trabajo de sus investigadores. Según han investigado, esta amenaza se usa desde 2016 y logra que los equipos continúen infectados incluso si se reinstala un sistema operativo o se reemplaza un disco duro.
¿Qué es un rootkit?
Avast, otra compañía de seguridad informática, define un rootkit como "un sigiloso y peligroso tipo de malware que permite a los hackers acceder a su equipo sin su conocimiento". El caso de CosmicStand es casi indetectable y usa la interfaz de firmware extensible unificada (UEFI), un sistema operativo por derecho propio.
El estudio de Kaspersky alerta que el UEFI se ubica en el chip de almacenamiento flash conectado al SPI, por lo que complica la detección de la vulnerabilidad. Además, es lo primero que se ejecuta al encender el equipo y esto influye al sistema operativo, a las aplicaciones de ciberseguridad y a todo el software.
El origen de CosmicStrand
Kaspersky atribuye la autoría del rootkit UEFI a un grupo de ciberdelincuentes de habla china vinculado con el troyano cryptominer. "El aspecto más sorprendente de este informe es que este implante UEFI parece haber sido utilizado desde fines de 2016, mucho antes de que los ataques UEFI comenzaran a describirse públicamente -recalcan-. Este descubrimiento plantea una pregunta final: si esto es lo que los atacantes estaban usando en ese entonces, ¿qué están usando hoy?".
Los investigadores de Kaspersky han encontrado el rootkit en las imágenes de firmware de algunas placas base Gigabyte o Asus. En concreto, CosmicStrand establece ‘ganchos’ en puntos clave que afectan al proceso de arranque para continuar atacando incluso si el dueño del dispositivo resetea el equipo.
Apúntate a nuestra newsletter y recibe en tu correo las últimas noticias sobre tecnología.
Comentarios
Hemos bloqueado los comentarios de este contenido. Sólo se mostrarán los mensajes moderados hasta ahora, pero no se podrán redactar nuevos comentarios.
Consulta los casos en los que 20minutos.es restringirá la posibilidad de dejar comentarios