{"id":27453,"date":"2022-07-29T13:28:29","date_gmt":"2022-07-29T11:28:29","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=27453"},"modified":"2022-07-29T13:28:29","modified_gmt":"2022-07-29T11:28:29","slug":"cosmicstrand-uefi-rootkit","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/cosmicstrand-uefi-rootkit\/27453\/","title":{"rendered":"CosmicStrand: un rootkit UEFI"},"content":{"rendered":"<p>Nuestros investigadores <a href=\"https:\/\/securelist.com\/cosmicstrand-uefi-firmware-rootkit\/106973\/\" target=\"_blank\" rel=\"noopener\">examinaron una nueva versi\u00f3n del <em>rootkit <\/em>CosmicStrand<\/a> que encontraron en el <em>firmware<\/em> modificado <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/uefi\/\" target=\"_blank\" rel=\"noopener\">UEFI<\/a> (<em>Unified Extensible Firmware Interface<\/em>, Interfaz unificada de <em>firmware <\/em>extensible, en espa\u00f1ol): el c\u00f3digo que se carga primero e inicia el proceso de arranque del sistema operativo cuando se enciende el ordenador.<\/p>\n<h2>El peligro del <em>malware <\/em>en la UEFI<\/h2>\n<p>Desde que el <em>firmware <\/em>UEFI est\u00e1 insertado en el chip de la placa base y no escrito en el disco duro, este es inmune a cualquier manipulaci\u00f3n del disco duro. Por lo tanto, es muy dif\u00edcil deshacerse del <em>malware <\/em>basado en la UEFI: incluso si se borra la unidad y se reinstala el sistema operativo, la UEFI permanecer\u00e1 intacta. Por esta misma raz\u00f3n, no todas las soluciones de seguridad pueden detectar el <em>malware <\/em>oculto en la UEFI. En pocas palabras, una vez que el <em>malware<\/em> se introduce en el <em>firmware<\/em>, este llega para quedarse.<\/p>\n<p>Por supuesto, infectar la UEFI no es tarea f\u00e1cil: se necesita un acceso f\u00edsico al dispositivo o alg\u00fan sofisticado mecanismo para infectar el <em>firmware<\/em> de forma remota. Adem\u00e1s, para alcanzar su meta final, sea cual sea, el <em>malware<\/em> no solo tiene que residir en la UEFI, sino tambi\u00e9n penetrar en el sistema operativo al inicio, lo cual es m\u00e1s que complicado. Todo esto requiere de un gran esfuerzo para lograrlo, raz\u00f3n por la que dicho <em>malware<\/em> se ve m\u00e1s frecuentemente en ataques dirigidos contra personas u organizaciones de perfil alto.<\/p>\n<h2>V\u00edctimas y posibles vectores de infecci\u00f3n de CosmicStrand<\/h2>\n<p>Por extra\u00f1o que parezca, las v\u00edctimas de CosmicStrand identificadas por nuestros investigadores eran personas comunes que utilizaban nuestro antivirus gratuito. Al parecer, no ten\u00edan nada que ver con ninguna empresa u organizaci\u00f3n que pudiera resultar interesante para los atacantes de este calibre. Tambi\u00e9n result\u00f3 que, en todos los casos conocidos, las placas base infectadas proven\u00edan solo de dos fabricantes. Por lo tanto, es probable que los atacantes hayan encontrado alguna vulnerabilidad com\u00fan en estas placas base, lo que hizo posible la infecci\u00f3n de la UEFI.<\/p>\n<p>No se sabe exactamente c\u00f3mo consiguieron los cibercriminales introducir el <em>malware<\/em>. El hecho de que estas v\u00edctimas de CosmicStrand fueran personas comunes podr\u00eda ser indicio de que los atacantes que hay detr\u00e1s de este <em>rootkit <\/em>pueden infectar la UEFI de forma remota. Pero tambi\u00e9n puede haber otras explicaciones: por ejemplo, los expertos de Qihoo 360 que investigaron las primeras versiones de CosmicStrand en 2016, <a href=\"https:\/\/bbs.360.cn\/thread-14959110-1-1.html\" target=\"_blank\" rel=\"noopener nofollow\">sugirieron<\/a> que una de las v\u00edctimas hab\u00eda comprado una placa base modificada a un distribuidor. Pero, en este caso, nuestros expertos no pudieron confirmar el uso de ning\u00fan m\u00e9todo de infecci\u00f3n espec\u00edfico.<\/p>\n<h2>\u00bfQu\u00e9 hace CosmicStrand?<\/h2>\n<p>El prop\u00f3sito principal de CosmicStrand es descargar un programa malicioso al iniciar el sistema operativo, que luego lleva a cabo las tareas establecidas por los atacantes. Tras haber superado con \u00e9xito todas las etapas del proceso de arranque del sistema operativo, el <em>rootkit<\/em> ejecuta finalmente un <em>shellcode <\/em>y contacta con el <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/command-and-control-server-cc\/\" target=\"_blank\" rel=\"noopener\">servidor C2<\/a> de los atacantes, desde donde recibe una carga maliciosa.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter wp-image-27454 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2022\/07\/29132145\/cosmicstrand-uefi-rootkit-1.png\" alt=\"Cadena de infecci\u00f3n del rootkit CosmicStrand\" width=\"493\" height=\"637\"><\/p>\n<p>Nuestros investigadores no pudieron interceptar el archivo recibido por el <em>rootkit<\/em> desde su servidor C2. En cambio, en uno de los equipos infectados, encontraron una pieza de <em>malware<\/em> que probablemente est\u00e9 relacionado con CosmicStrand. Este <em>malware<\/em> crea en el sistema operativo un usuario llamado \u201caaaabbbb\u201d con derechos de administrador local. Para m\u00e1s detalles t\u00e9cnicos sobre CosmicStrand, consulta lo que nuestros investigadores <a href=\"https:\/\/securelist.com\/cosmicstrand-uefi-firmware-rootkit\/106973\/\" target=\"_blank\" rel=\"noopener\">publicaron en Securelist<\/a>.<\/p>\n<h2>\u00bfDeber\u00edamos temer a los <em>rootkits<\/em>?<\/h2>\n<p>Desde 2016, CosmicStrand le ha funcionado muy bien a los cibercriminales, atrayendo a su vez poca o nula atenci\u00f3n por parte de los investigadores en seguridad de la informaci\u00f3n. Lo cual es preocupante, claro, pero no es del todo negativo. En primer lugar, este un es ejemplo de <em>malware<\/em> sofisticado y costoso que se usa para ataques dirigidos no masivos, aunque a veces ataque a personas de forma aparentemente aleatoria. En segundo lugar, existen productos de seguridad capaces de detectar este <em>malware<\/em>. Por ejemplo, <a href=\"https:\/\/www.kaspersky.es\/internet-security?icid=es_kdailyplacehold_acq_ona_smm__onl_b2c_kasperskydaily_wpplaceholder____kismd___\" target=\"_blank\" rel=\"noopener\">nuestras soluciones de seguridad<\/a> protegen a nuestros usuarios de los <em>rootkits.<\/em><\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kis_trial_shield\">\n","protected":false},"excerpt":{"rendered":"<p>Nuestros expertos descubrieron una nueva versi\u00f3n de CosmicStrand, un rootkit que se esconde de los investigadores en el firmware UEFI. <\/p>\n","protected":false},"author":2477,"featured_media":27455,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1348],"tags":[378,3464,449,272,3186],"class_list":{"0":"post-27453","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-amenazas","9":"tag-cosmicstrand","10":"tag-great","11":"tag-rootkit","12":"tag-uefi"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/cosmicstrand-uefi-rootkit\/27453\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/cosmicstrand-uefi-rootkit\/24412\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/cosmicstrand-uefi-rootkit\/19878\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/cosmicstrand-uefi-rootkit\/10046\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/cosmicstrand-uefi-rootkit\/26807\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/cosmicstrand-uefi-rootkit\/24713\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/cosmicstrand-uefi-rootkit\/25108\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/cosmicstrand-uefi-rootkit\/27118\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/cosmicstrand-uefi-rootkit\/33702\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/cosmicstrand-uefi-rootkit\/10893\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/cosmicstrand-uefi-rootkit\/45017\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/cosmicstrand-uefi-rootkit\/19233\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/cosmicstrand-uefi-rootkit\/19787\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/cosmicstrand-uefi-rootkit\/29085\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/cosmicstrand-uefi-rootkit\/25300\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/cosmicstrand-uefi-rootkit\/30778\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/cosmicstrand-uefi-rootkit\/30524\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/rootkit\/","name":"rootkit"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/27453","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/2477"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=27453"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/27453\/revisions"}],"predecessor-version":[{"id":27457,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/27453\/revisions\/27457"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/27455"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=27453"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=27453"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=27453"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}