Ett rootkit är en av de farligaste typerna av skadlig programvara som kan infektera din dator. I juli 2022 upptäckte Kaspersky ett rootkit som specifikt inriktar sig på UEFI-firmware för Gigabyte och Asus moderkort med Intel H81 Chipset. Detta rootkit, kallat CosmicStrand, kan vara ett allvarligt hot mot din dator eftersom Advanced Persistent Threats (ATP)-aktörer är dess utvecklare.
De är notoriskt kända för att skapa dödliga hot för att komma åt och kontrollera datorer och nätverk. Överraskande nog har maximala CosmicStrand-attacker hänt lokala medborgare i Kina, Ryssland, Vietnam och Iran istället för företagsorganisationer.
Vad är CosmicStrand och vad gör det?
CosmicStrand är en rootkit som ger angripare fullständig kontroll över din dator utan att du vet något. Det förblir oupptäckt av alla typer av traditionella säkerhetsåtgärder efter att ha installerats på smyg UEFI-firmware för din Windows-enhet.
Bortsett från det har CosmicStrand rootkit förmågan att förbli dold på offrets enhet även efter att Windows-operativsystemet har installerats om eller reparerats. Denna förmåga gör det mycket farligt och något du inte kan ta lätt på.
Detta rootkit låter angriparen göra vad de vill på din dator, inklusive att stjäla känslig information, installera annan skadlig programvara och till och med ta över hela systemet.
Hur installeras CosmicStrand på datorer?
Enligt forskaren vid Kaspersky, kunde hackarna installera CosmicStrand på offrets firmware genom att göra ändringar i CSMCORE DXE-drivrutinen. Denna modifiering tvingar drivrutinen att köra en serie koder vid systemstarten som utlöser nedladdning och installation av CosmicStrand-komponenten.
Genom att undersöka de infekterade firmware-bilderna upptäckte forskare att angriparna gjorde ändringar i CSMCORE DXE-drivrutin genom att få tillgång till offrets dator i förväg och skriva över den fasta programvaran för att introducera den automatiska patcher. Denna automatiska patcher är ansvarig för att omdirigera ingångspunkten för CSMCORE DXE-drivrutinen till den skadliga koden som är lagrad i den körbara filens RELOC-fil.
Hur kan du skydda ditt system från CosmicStrand och andra rootkits?
Det bästa sättet att skydda ditt system från CosmicStrand och andra rootkits är att installera en robust säkerhetslösning som kan upptäcka och ta bort sådana hot.
Du bör också hålla ditt operativsystem och all programvara uppdaterade med de senaste säkerhetsuppdateringarna. Detta kommer att hjälpa till att stänga eventuella kryphål som angriparna kan använda för att komma in i ditt system. Du borde utföra firmwareuppdateringarna och alla andra viktiga uppdateringar genom officiella, pålitliga källor.
Det är också viktigt att skapa regelbundna säkerhetskopior av dina data så att du kan återställa ditt system om det skulle bli infekterat med ett rootkit eller annan skadlig kod.
Annat än det skulle det vara bäst om du också tränar grundläggande säkerhetsåtgärder som att inte klicka på okända länkar eller bilagor, inte ladda ner piratkopierad programvara eller innehåll från opålitliga webbplatser och inte dela din personliga information med vem som helst. Detta kommer att hjälpa dig skydda dig från sociala ingenjörsattacker.
Bör du vara orolig för ComicStrand?
Från och med augusti 2022 finns det väldigt få fall av ComicStrand rootkit-attacker. Men med tanke på rootkitets sofistikerade förmåga och dess förmåga att förbli dold, kan vi komma att se fler attacker i framtiden. Hittills finns bara specifika moderkort från Gigabyte och Asus på mållistan för ComicStrand, men det är möjligt att andra moderkortstillverkare också är i riskzonen.
Om du har ett Gigabyte- eller Asus-moderkort med en Intel H81-kretsuppsättning är det viktigt att kontrollera om ditt system är infekterat och om du upptäcker rootkit, vidta åtgärder för att ta bort det. Du bör också installera en pålitlig säkerhetslösning för att skydda ditt system från sådana hot i framtiden.
Även om ComicStrand rootkit inte är ett utbrett hot, är det viktigt att vara medveten om det och vidta åtgärder för att skydda ditt system.