Les chercheurs en cybersécurité de Qihoo360 et Kaspersky ont averti que certaines cartes mères plus anciennes pourraient être infectées par des logiciels malveillants particulièrement sournois.
Les logiciels malveillants de la carte mère, menaces persistantes communément appelées rootkits UEFI, sont particulièrement difficiles à supprimer, car même effacer le disque dur ne supprime pas la menace.
Cette instance, que Qihoo360 a surnommée Spy Shadow Trojan et Kaspersky surnommée CosmicStrand, a été trouvée sur des machines équipées de cartes mères ASUS et Gigabyte. Il s'agissait pour la plupart de matériel abandonné, produit entre 2013 et 2015, et Kaspersky a noté que le rootkit du micrologiciel UEFI peut persister sur les appareils tant qu'ils sont opérationnels.
Compromis difficile à faire
Expliquant les résultats via Twitter, l'ancien rétro-ingénieur de Kaspersky, Mark Lechtik, a déclaré que les images de micrologiciel compromises étaient fournies avec un pilote CSMCORE DXE modifié, qui permet un processus de démarrage hérité, a rapporté BleepingComputer.
"Ce pilote a été modifié pour intercepter la séquence de démarrage et y introduire une logique malveillante", a déclaré Lechtik.
Ce que les chercheurs ne savent pas encore, c'est comment le logiciel malveillant s'est introduit sur les appareils, car compromettre les points finaux (ouvre un nouvel onglet) avec le logiciel malveillant UEFI implique d'accéder physiquement aux appareils ou d'avoir des logiciels malveillants précurseurs qui pourraient automatiquement corriger l'image du micrologiciel.
Dans l'affaire Qihoo360, une victime a déclaré avoir acheté une carte mère d'occasion compromise sur Internet. Parmi les victimes analysées par Kaspersky se trouvaient des personnes originaires de Chine, d'Iran, du Vietnam et de Russie, qui n'avaient presque rien en commun.
On ne sait pas qui est l'auteur de la menace, bien que Kaspersky pense que le même groupe est derrière le botnet de crypto-minage MyKings.
Bien que plus difficiles à supprimer, les logiciels malveillants UEFI deviennent de plus en plus courants. En octobre de l'année dernière, par exemple, les chercheurs en cybersécurité d'ESET ont découvert un tel logiciel malveillant et l'ont nommé ESPecter. À l'époque, les chercheurs ont déclaré que cette menace était active depuis au moins 2012 et était principalement utilisée à des fins d'espionnage, car elle pouvait enregistrer des frappes au clavier et voler des documents.
Via : BleepingComputer (Ouvre dans un nouvel onglet)