Es un hecho que los desarrolladores de software malicioso siempre están buscando formas alternativas de infiltrarse en los ordenadores de sus víctimas. Por ello, no sorprende que Kaspersky haya detectado la existencia de un malware capaz de sobrevivir a la reinstalación de Windows o a un cambio de disco duro.
¿Cómo lo logra? Alojándose en el firmware de la placa madre de los PC infectados. Según la firma de seguridad informática, el malware en cuestión se llama CosmicStrand y se han detectado rastros que ligarían su autoría con hackers chinos. Al infectar la UEFI de una motherboard, el rootkit es capaz de ejecutar procesos maliciosos desde el booteo del sistema operativo.
Esto representa un gran peligro para los equipos afectados, pues implica que el malware puede conectarse a un servidor controlado por ciberdelincuentes e instalar más componentes maliciosos, a espaldas de los usuarios.
La "buena noticia" es que los casos detectados parecen estar focalizados en territorios muy específicos y, por ahora, lejos de Occidente. Kaspersky menciona que hasta aquí solo se ha encontrado en ordenadores en Rusia, China, Irán y Vietnam. Y el otro punto notorio es que las infecciones se han registrado en equipos con componentes que no son de última generación. Específicamente, en placas madre de Gigabyte y ASUS con el chipset H81.
¿Cómo se infectaron los PC afectados por este malware?
De acuerdo con el análisis de Kaspersky, los equipos infectados por CosmicStrand eran de usuarios privados, no de empresas u organizaciones. Pero lo verdaderamente llamativo es que no hay precisiones sobre cómo puede haber llegado el malware a dichos ordenadores. De todos modos, los investigadores siguen un par de indicios bastante firmes.
El firmware de las placas madre analizadas mostró que las modificaciones al mismo se realizaron a través de un parche automático. Esto permitió "extraerlo, modificarlo y sobrescribirlo", indicaron.
Por ello, los especialistas creen que existen dos posibles vías de infección. Una, a través de un malware preexistente en los ordenadores; la otra, que los piratas informáticos tengan acceso físico a los equipos. El segundo caso parece un tanto menos factible, pero otros expertos en seguridad creen que el software malicioso podría llegar implantado en motherboards de segunda mano.
Kaspersky sostiene que CosmicStrand es un rootkit sofisticado, pero eso no necesariamente significa que sea nuevo. Se han detectado versiones más antiguas del malware que datan de 2016 o 2017, mientras que la variante activa más actual dataría de 2020.
La gran pregunta es cómo eliminar el malware de un PC infectado, si no es suficiente con reinstalar Windows o cambiar el disco duro. Según explicaron a PC Mag, existen algunas opciones, aunque no son las más cómodas. La primera, volver a "flashear" el firmware de la placa madre; esto es algo que muchos fabricantes muestran cómo hacer, aunque es una labor principalmente destinada a usuarios avanzados o técnicos informáticos. La segunda es un tanto más extrema, pues conlleva cambiar la motherboard por una nueva o más moderna.
Kaspersky ha publicado al detalle los resultados sobre su investigación a este malware, para entender cómo funciona y cómo logra sortear los obstáculos técnicos que implican estar en ejecución desde antes que Windows esté cargado en la memoria del PC.