Un rootkit est l'un des types de logiciels malveillants les plus dangereux qui peuvent infecter votre ordinateur. En juillet 2022, Kaspersky a découvert un rootkit qui cible spécifiquement le micrologiciel UEFI des cartes mères Gigabyte et Asus avec le chipset Intel H81. Ce rootkit, appelé CosmicStrand, pourrait constituer une grave menace pour votre ordinateur puisque les acteurs des menaces persistantes avancées (ATP) en sont le développeur.
Ils sont notoirement connus pour créer des menaces mortelles pour accéder et contrôler les ordinateurs et les réseaux. Étonnamment, un maximum d'attaques CosmicStrand ont touché des citoyens locaux de Chine, de Russie, du Vietnam et d'Iran au lieu d'organisations commerciales.
Qu'est-ce que CosmicStrand et à quoi sert-il ?
CosmicStrand est un rootkit qui donne aux attaquants le contrôle total de votre ordinateur sans que tu saches rien. Il reste non détecté par tout type de mesures de sécurité traditionnelles après avoir été installé furtivement sur le Micrologiciel UEFI de votre appareil Windows.
En dehors de cela, le rootkit CosmicStrand a la capacité de rester caché sur l'appareil de la victime même après la réinstallation ou la réparation du système d'exploitation Windows. Cette capacité le rend très dangereux et quelque chose que vous ne pouvez pas prendre à la légère.
Ce rootkit permet à l'attaquant de faire tout ce qu'il veut sur votre ordinateur, y compris voler des informations sensibles, installer d'autres logiciels malveillants et même prendre le contrôle de l'ensemble du système.
Comment CosmicStrand est-il installé sur les ordinateurs ?
Selon le chercheur de Kaspersky, les pirates ont pu installer le CosmicStrand sur le firmware de la victime en apportant des modifications au pilote CSMCORE DXE. Cette modification oblige le pilote à exécuter une série de codes au démarrage du système qui déclenche le téléchargement et l'installation du composant CosmicStrand.
En examinant les images de firmware infectées, les chercheurs ont découvert que les attaquants avaient apporté des modifications au CSMCORE Pilote DXE en obtenant un accès préalable à l'ordinateur de la victime et en écrasant le micrologiciel pour introduire le patcheur. Ce patcher automatique est chargé de rediriger le point d'entrée du pilote CSMCORE DXE vers le code malveillant stocké dans le fichier RELOC de l'exécutable.
Comment pouvez-vous protéger votre système contre CosmicStrand et d'autres rootkits ?
La meilleure façon de protéger votre système contre CosmicStrand et d'autres rootkits est d'installer une solution de sécurité robuste capable de détecter et de supprimer ces menaces.
Vous devez également maintenir votre système d'exploitation et tous les logiciels à jour avec les derniers correctifs de sécurité. Cela aidera à combler toutes les failles que les attaquants peuvent utiliser pour pénétrer dans votre système. Tu devrais effectuer les mises à jour du firmware et toutes les autres mises à jour essentielles via des sources officielles et fiables.
Il est également essentiel de créer des sauvegardes régulières de vos données afin de pouvoir restaurer votre système au cas où il serait infecté par un rootkit ou tout autre logiciel malveillant.
En dehors de cela, il serait préférable que vous pratiquiez également des mesures de sécurité de base comme ne pas cliquer sur des liens inconnus ou pièces jointes, ne pas télécharger de logiciels ou de contenus piratés à partir de sites Web non fiables, et ne pas partager vos informations personnelles avec quelqu'un. Cela vous aidera protégez-vous des attaques d'ingénierie sociale.
Devriez-vous vous inquiéter pour ComicStrand ?
En août 2022, il y avait très peu d'instances d'attaques de rootkit ComicStrand. Cependant, étant donné la sophistication du rootkit et sa capacité à rester caché, nous pourrions voir plus d'attaques à l'avenir. De plus, jusqu'à présent, seules des cartes mères spécifiques de Gigabyte et Asus figurent sur la liste cible du ComicStrand, mais il est possible que d'autres fabricants de cartes mères soient également à risque.
Si vous avez une carte mère Gigabyte ou Asus avec un chipset Intel H81, il est indispensable de vérifier si votre système est infecté et si vous détectez le rootkit, prenez les mesures pour le supprimer. Vous devez également installer une solution de sécurité fiable pour protéger votre système contre de telles menaces à l'avenir.
Bien que le rootkit ComicStrand ne soit pas une menace répandue, il est essentiel d'en être conscient et de prendre des mesures pour protéger votre système.