Οι ερευνητές της Kaspersky ονόμασαν το malware CosmicStrand και αναφέρεται πως είναι η εξέλιξη ενός ήδη γνωστού malware, του λεγόμενου Spy Shadow Trojan, το οποίο είχε ανακαλυφθεί για πρώτη φορά το 2016. Το κακόβουλο λογισμικό εντοπίστηκε στο firmware ορισμένων ASUS και Gigabyte μητρικών, αλλά ευτυχώς ο κίνδυνος δεν φαίνεται να είναι πολύ μεγάλος.
Περνώντας σε λεπτομέρειες, οι motherboards που μολύνθηκαν χρησιμοποιούσαν το H81 chipset της Intel, το οποίο είχε κυκλοφορήσει το 2013 μαζί με τους 4ης γενιάς Intel Core επεξεργαστές. Τα καλά νέα είναι ότι το hardware αυτό δεν είναι τόσο διαδομένο πλέον, μιας και έχουν περάσει πολλά χρόνια από το ντεμπούτο του.
Παράλληλα, για να εγκατασταθεί το malware, ο επιτιθέμενος θα πρέπει να έχει φυσική πρόσβαση στο σύστημα, για να εγκαταστήσει χειροκίνητα το κακόβουλο λογισμικό ως ενημέρωση του UEFI.
Όσον αφορά τον τρόπο λειτουργίας του, το malware δημιουργεί μια σειρά από “hooks” τα οποία επιτρέπουν την πρόσβαση στο kernel των Windows, οδηγώντας τελικά το μολυσμένο λειτουργικό σύστημα να ανακτήσει έναν κώδικα των επιτιθέμενων, ο οποίος θα εκτελεστεί με τη σειρά του στον υπολογιστή του θύματος.
Οι μηχανικοί της Kaspersky δεν κατάφεραν να ανακτήσουν τον κώδικα αυτόν καθ΄ αυτόν, αλλά πιστεύουν ότι το κακόβουλο λογισμικό μοιράζεται μοτίβα με τον κώδικα μιας κινεζικής ομάδας που είναι υπεύθυνη για το botnet εξόρυξης κρυπτονομισμάτων MyKings.
Η αναφορά της Kaspersky επισημαίνει:
Τα πολλαπλά rootkits που έχουν ανακαλυφθεί μέχρι τώρα είναι απόδειξη ότι υπάρχει ένα τυφλό σημείο στη βιομηχανία μας, το οποίο πρέπει να διευθετηθεί το συντομότερο δυνατό.