Een rootkit is een van de gevaarlijkste soorten malware die uw computer kunnen infecteren. In juli 2022 ontdekte Kaspersky een rootkit die specifiek gericht is op UEFI-firmware van de Gigabyte- en Asus-moederborden met Intel H81-chipset. Deze rootkit, CosmicStrand genaamd, kan een ernstige bedreiging vormen voor uw computer, aangezien Advanced Persistent Threats (ATP)-actoren de ontwikkelaar ervan zijn.
Ze staan bekend om het creëren van dodelijke bedreigingen voor toegang tot en controle over computers en netwerken. Verrassend genoeg zijn er maximale CosmicStrand-aanvallen gebeurd met lokale burgers van China, Rusland, Vietnam en Iran in plaats van bedrijfsorganisaties.
Wat is CosmicStrand en wat doet het?
CosmicStrand is een rootkit die aanvallers volledige controle over uw computer geeft zonder dat je iets weet. Het blijft onopgemerkt door enige vorm van traditionele beveiligingsmaatregelen nadat het stiekem is geïnstalleerd op de UEFI-firmware van uw Windows-apparaat.
Afgezien daarvan heeft de CosmicStrand-rootkit de mogelijkheid om verborgen te blijven op het apparaat van het slachtoffer, zelfs nadat het Windows-besturingssysteem opnieuw is geïnstalleerd of gerepareerd. Dit vermogen maakt het erg gevaarlijk en iets dat je niet lichtvaardig kunt opvatten.
Met deze rootkit kan de aanvaller alles doen wat hij wil op je computer, inclusief het stelen van gevoelige informatie, het installeren van andere malware en zelfs het overnemen van het hele systeem.
Hoe wordt CosmicStrand op computers geïnstalleerd?
Volgens de onderzoeker van Kaspersky, konden de hackers het CosmicStrand op de firmware van het slachtoffer installeren door wijzigingen aan te brengen in het CSMCORE DXE-stuurprogramma. Deze wijziging dwingt het stuurprogramma om een reeks codes uit te voeren bij het opstarten van het systeem, waardoor het downloaden en installeren van de CosmicStrand-component wordt gestart.
Door de geïnfecteerde firmware-afbeeldingen te onderzoeken, ontdekten onderzoekers dat de aanvallers wijzigingen hadden aangebracht in de CSMCORE DXE-stuurprogramma door vooraf toegang te krijgen tot de computer van het slachtoffer en de firmware te overschrijven om de geautomatiseerde patcher. Deze automatische patcher is verantwoordelijk voor het omleiden van het ingangspunt van het CSMCORE DXE-stuurprogramma naar de kwaadaardige code die is opgeslagen in het RELOC-bestand van het uitvoerbare bestand.
Hoe kunt u uw systeem beschermen tegen CosmicStrand en andere rootkits?
De beste manier om uw systeem tegen CosmicStrand en andere rootkits te beschermen, is door een robuuste beveiligingsoplossing te installeren die dergelijke bedreigingen kan detecteren en verwijderen.
U moet ook uw besturingssysteem en alle software up-to-date houden met de nieuwste beveiligingspatches. Dit helpt eventuele mazen in de wet te dichten die de aanvallers kunnen gebruiken om in uw systeem te komen. Je zou moeten de firmware-updates uitvoeren en alle andere essentiële updates via officiële, betrouwbare bronnen.
Het is ook essentieel om regelmatig back-ups van uw gegevens te maken, zodat u uw systeem kunt herstellen voor het geval het geïnfecteerd raakt met een rootkit of andere malware.
Anders dan dat, zou het het beste zijn als u ook basisbeveiligingsmaatregelen oefent, zoals niet klikken op onbekende links of bijlagen, het niet downloaden van illegale software of inhoud van onbetrouwbare websites en het niet delen van uw persoonlijke gegevens met iemand. Dit zal je helpen bescherm uzelf tegen social engineering-aanvallen.
Moet je je zorgen maken over ComicStrand?
Vanaf augustus 2022 zijn er zeer weinig gevallen van ComicStrand rootkit-aanvallen. Gezien de verfijning van de rootkit en zijn vermogen om verborgen te blijven, kunnen we in de toekomst echter meer aanvallen zien. Ook staan tot nu toe alleen specifieke moederborden van Gigabyte en Asus op de doellijst van ComicStrand, maar het is mogelijk dat ook andere moederbordfabrikanten gevaar lopen.
Als je een Gigabyte- of Asus-moederbord hebt met een Intel H81-chipset, is het essentieel om te controleren of je systeem is geïnfecteerd en als je de rootkit detecteert, moet je stappen ondernemen om deze te verwijderen. U moet ook een betrouwbare beveiligingsoplossing installeren om uw systeem in de toekomst tegen dergelijke bedreigingen te beschermen.
Hoewel de ComicStrand-rootkit geen wijdverbreide bedreiging is, is het van cruciaal belang om je hiervan bewust te zijn en stappen te ondernemen om je systeem te beschermen.