Les chercheurs en cybersécurité de Qihoo360 et Kaspersky ont averti que certaines cartes mères plus anciennes pourraient être infectées par des logiciels malveillants particulièrement sournois.
Les logiciels malveillants de la carte mère, menaces persistantes généralement connues sous le nom de rootkits UEFI, sont particulièrement difficiles à supprimer, car même l’effacement du disque dur n’élimine pas la menace.
Cette instance, que Qihoo360 a surnommée Spy Shadow Trojan et Kaspersky nommée CosmicStrand, a été trouvée sur des machines équipées de cartes mères ASUS et Gigabyte. Il s’agissait pour la plupart de matériel abandonné, produit entre 2013 et 2015, Kaspersky notant que le rootkit du micrologiciel UEFI peut persister sur les appareils aussi longtemps qu’ils sont opérationnels.
Difficile compromis à faire
Expliquant les résultats via Twitter, l’ancien rétro-ingénieur de Kaspersky, Mark Lechtik, a déclaré que les images de micrologiciel compromises étaient fournies avec un pilote CSMCORE DXE modifié, qui permet un processus de démarrage hérité, BipOrdinateur signalé.
« Ce pilote a été modifié de manière à intercepter la séquence de démarrage et à y introduire une logique malveillante », a déclaré Lechtik.
Ce que les chercheurs ne savent pas encore, c’est comment le malware s’est introduit sur les appareils, en compromettant les terminaux. (s’ouvre dans un nouvel onglet) avec les logiciels malveillants UEFI implique soit d’avoir un accès physique aux appareils, soit d’avoir des logiciels malveillants précurseurs qui seraient capables de corriger automatiquement l’image du micrologiciel.
Dans le cas de Qihoo360, une victime a déclaré avoir acheté une carte mère usagée déjà compromise sur Internet. Parmi les victimes analysées par Kaspersky se trouvaient des particuliers en Chine, en Iran, au Vietnam et en Russie, qui n’avaient presque rien en commun.
Il est difficile de déterminer qui est l’auteur de la menace, bien que Kaspersky pense que le même groupe est derrière le botnet de cryptominage MyKings.
Bien qu’ils soient plus difficiles à éliminer, les logiciels malveillants UEFI deviennent de plus en plus courants. En octobre de l’année dernière, par exemple, des chercheurs en cybersécurité d’ESET ont découvert un tel logiciel malveillant et l’ont baptisé ESPecter. À l’époque, les chercheurs affirmaient que cette menace était active depuis au moins 2012 et était principalement utilisée à des fins d’espionnage, car elle était capable d’enregistrer des frappes et de voler des documents.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)