Ligue agora
Placa-mãe
Tecnologia 27/07/2022

Malware infecta placas Gigabyte e Asus chipset H81

DataDecrypt

CosmicStrand, malware descoberto pela Kaspersky,  é um rootkit de UEFI que entra em ação antes do Windows ser carregado

 

No final de Julho/2022, a Kaspersky alertou para um até então desconhecido rootkit que se aloja no UEFI e entra em ação antes do Windows carregar. Batizado de CosmicStrand, o malware foi encontrado em PCs com placas-mãe Gigabyte e Asus, principalmente na Ásia.

 

Diferentemente da maioria dos vírus, que infectam o sistema operacional da máquina, este malware ataca o UEFI (Unified Extensible Firmware Interface). O UEFI é um firmware presente na placa-mãe que intermedia a comunicação entre o sistema operacional e o hardware do computador. Este rootkit (malware de difícil detecção e remoção) se aloja dentro do firmware da placa-mãe. Ou seja: é executado assim que a máquina é ligada.

 

De acordo com a Kaspersky, estimam que o CosmicStrand esteja circulando desde 2020. Foi encontrado em placas-mãe com chipset Intel H81. Esse chipset é já um tanto antigo, lançado em 2013 para processadores Intel Haswell, de 4ª geração.

 

E agora, o que fazer?

 

Se o seu PC é mais novo, ou antigo mas com chipset diferente do H81, ele não está vulnerável ao CosmicStrand. Pelo menos até o momento. Outra boa notícia: conforme informações levantadas pela Kaspersky, as infecções se concentram na Ásia por enquanto.

 

 

CosmicStrand malware distribution map
(imagem: Securylist/Kaspersky)

 

Se o seu PC tem chipset H81, fique atento. O rootkit é capaz de modificar o processo de inicialização e acessar recursos específicos do kernel do Windows.  Isso dá margem para execução de ações maliciosas tais como captura de dados sigilosos ou implantação de softwares maliciosos.

 

A remoção não é trivial. Como o malware se aloja no firmware, formatar a máquina não resolve o problema. É necessário atualizar ou reinstalar o firmware. Porém essa não é uma tarefa fácil. O CosmicStrand adota estratégias que dificultam a sua identificação por ferramentas de segurança.

 

Mas o que o CosmicStrand faz exatamente? O team da Kaspersky não conseguiu identificar com precisão. Suspeitam que possa ser alguma ferramenta ligada a um grupo chinês que controla a botnet de mineração de criptomoedas MyKings. Com base nisso, presume-se que os computadores afetados pelo CosmicStrand são usados para minerar criptomoedas. Outras ações maliciosas, entretanto, não estão descartadas.

 

Acesse a matéria do Tecnoblog para mais informações.

 

Precisando descriptografar arquivos criptografados por vírus ransomware? Faça seu orçamento conosco.

 

 

A DataDecrypt é especializada na recuperação de arquivos criptografados por vírus ransomware. Somos a única empresa das Américas a trabalhar exclusivamente com descriptografia ransomware.

EXIBIR TODOS OS POSTS

Leia Também

Recuperar arquivo VBK
07/03/2024

Recuperar arquivo VBK

Saiba mais
Nemesis ransomware
15/04/2023

Recuperar arquivos ransomware Nemesis

Saiba mais
Descriptografar ransomware Globeimposter
30/08/2022

Recuperar Ransomware Globeimposter

Saiba mais
Ver todos
English
Converse no whatsapp