Материнская плата может быть заражена серьезным вредоносным ПО

Материнская плата может быть заражена серьезным вредоносным ПО. Фото: СС0

Вредоносное ПО для материнской платы, известное как руткиты UEFI, особенно трудно удалить, поскольку даже очистка жесткого диска не устраняет угрозу. 

Этот экземпляр, который в Qihoo360 назвали Spy Shadow Trojan, а Kaspersky назвал CosmicStrand, был обнаружен на машинах с материнскими платами ASUS и Gigabyte. В основном это было снятое с производства оборудование, произведенное в период с 2013 по 2015 год, при этом «Лаборатория Касперского» отмечает, что руткит прошивки UEFI может сохраняться на устройствах, пока они работают.

Объясняя результаты через Twitter, бывший реверс-инженер «Лаборатории Касперского» Марк Лехтик сказал, что скомпрометированные образы прошивки поставлялись с модифицированным драйвером CSMCORE DXE, который обеспечивает устаревший процесс загрузки, сообщает BleepingComputer.

Из сообщения бывший реверс-инженера «Лаборатории Касперского» Марка Лехтика:

«Этот драйвер был модифицирован таким образом, чтобы перехватывать последовательность загрузки и внедрять в нее вредоносную логику»

Чего исследователи пока не знают, так это того, как вредоносное ПО попало на устройства, компрометируя конечные точки. Заражение руткитом UEFI предполагает либо физический доступ к устройствам, либо наличие вредоносного ПО-предшественника, которое могло бы автоматически исправлять образ прошивки.

В случае с Qihoo360 жертва заявила, что купила в Интернете уже скомпрометированную бывшую в употреблении материнскую плату. Среди жертв, которых проанализировал «Лаборатория Касперского», были частные лица из Китая, Ирана, Вьетнама и России, не имевшие почти ничего общего.

Трудно определить, кто является злоумышленником, хотя «Лаборатория Касперского» считает, что это та же группа стоит за ботнетом для криптомайнинга MyKings. 

Вредоносное ПО UEFI становится все более распространенным, несмотря на то, что его труднее распространять. Например, в октябре прошлого года исследователи кибербезопасности из ESET обнаружили такое вредоносное ПО и назвали его ESPecter. В то время исследователи утверждали, что эта угроза была активна как минимум с 2012 года и использовалась в основном для шпионажа, поскольку она была способна к кейлоггингу и краже документов. 

Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме

• Microsoft Office теперь блокирует макросы по умолчанию.
• Зараженные тремя зловредами приложения были скачаны более 300 тыс. раз из Play Store. 
• Самый мощный ботнет в истории обнаружен специалистами.
• Программа-вымогатель BlackCat может стать намного опаснее.
• Эксперты: угроза Log4j будет жить годами.