Antivirus-Unternehmen Kaspersky hat kürzlich einen „Malware-Stamm“ entdeckt, der „Betriebssystem-Neuinstallationen überleben“ kann und „ältere Motherboards von infiltriert hat Asus und Gigabyte.“ Laut einem Bericht von PCMag ist die Malware namens Kosmischer Strand ist darauf ausgelegt, die UEFI (Unified Extensible Firmware Interface) dieser Motherboards, wodurch es auf einem Windows-System überleben kann, selbst nachdem das Speicherlaufwerk entfernt wurde. Der Bericht legt nahe, dass Kaspersky die Malware nicht nur entdeckte, sondern auch erklärte, dass CosmicStrand auf Windows-Rechnern in Ländern wie China, Vietnam, Iran und Russland verbreitet wurde. Darüber hinaus behauptete das Unternehmen, dass alle Opfer wahrscheinlich Privatpersonen seien, da sie die kostenlose Antivirensoftware von Kaspersky verwendeten.
Wie sich CosmicStrand auf Mainboards von Asus und Gigabyte auswirkt
Laut Recherchen von Kaspersky wurde CosmicStrand-Malware auf Firmware-Images für ältere Asus- und Gigabyte-Motherboards entdeckt, die den H81-Chipsatz verwendeten. Intel führte diese Chipsätze 2013 ein, jetzt werden sie jedoch eingestellt.
CosmicStrand ist in der Lage, „bösartige Prozesse“ auszuführen, sobald der PC hochfährt, da es das UEFI des Motherboards infiziert. Schließlich bringt die Malware die Maschine dazu, eine bösartige Komponente von einem von Hackern kontrollierten Server abzurufen und diese im Windows-Betriebssystem zu installieren.
Kaspersky hat erklärt, dass es nicht in der Lage war, „eine Kopie der Daten vom C2-Server (Command and Control) zu erhalten“. Das Unternehmen erhielt jedoch einige Beweise dafür, dass die Macher von CosmicStrand versuchten, die infizierten Systeme aus der Ferne zu übernehmen.
Wie wird CosmicStrand verbreitet?
Kaspersky konnte auch nicht bestätigen, wie CosmicStrand auf den Computern des Opfers eingeführt wurde. Der Bericht deutet jedoch darauf hin, dass es entweder von einem anderen Malware-Stamm stammen könnte, der bereits im System vorhanden war, oder dass Hacker physischen Zugriff auf die Hardware erhalten haben könnten.
Das Unternehmen erklärt: „Wenn wir uns die verschiedenen Firmware-Images ansehen, die wir erhalten konnten, gehen wir davon aus, dass die Änderungen möglicherweise mit einem automatisierten Patcher durchgeführt wurden. Wenn dies der Fall wäre, hätten die Angreifer zuvor Zugriff auf den Computer des Opfers gehabt, um die Firmware des Motherboards zu extrahieren, zu modifizieren und zu überschreiben.“
Wie sich CosmicStrand so lange versteckt hat
Dem Bericht zufolge ist CosmicStrand nicht die erste UEFI-basierte Malware, da die Antivirus-Industrie im Laufe der Jahre viele andere Stämme entdeckt hat. CosmicStrand hat es jedoch geschafft, sich mehrere Jahre zu verstecken.
Laut Recherchen von Kaspersky wurde erstmals im Dezember 2016 festgestellt, dass eine Probe der Malware zum ersten Mal mit einem von Hackern kontrollierten Server kommunizierte. Wiederum wurde 2020 eine weitere Probe gefunden, die eine Verbindung zu einem anderen von Hackern kontrollierten Server herstellte. Das Antivirenunternehmen hat dies getan erwähnte auch, dass der chinesische Antivirus-Anbieter Qihoo 360 entdeckte 2017 auch eine frühe Variante von CosmicStrand, die ein Asus B85M-Motherboard betraf.
Darüber hinaus fügte Kaspersky hinzu, dass der Bericht von Qihoo anfangs andeutete, dass der Käufer wahrscheinlich ein „Backdoor-Motherboard erhalten hatte, nachdem er eine Bestellung bei einem Second-Hand-Händler aufgegeben hatte“. Kaspersky konnte die Informationen jedoch nicht bestätigen.
Lesen Sie auch: Microsoft hat vor einer Android-Malware gewarnt, die Ihr mobiles Guthaben leeren kann. Klicken hier um mehr darüber zu lesen.
Wie sich CosmicStrand auf Mainboards von Asus und Gigabyte auswirkt
Laut Recherchen von Kaspersky wurde CosmicStrand-Malware auf Firmware-Images für ältere Asus- und Gigabyte-Motherboards entdeckt, die den H81-Chipsatz verwendeten. Intel führte diese Chipsätze 2013 ein, jetzt werden sie jedoch eingestellt.
CosmicStrand ist in der Lage, „bösartige Prozesse“ auszuführen, sobald der PC hochfährt, da es das UEFI des Motherboards infiziert. Schließlich bringt die Malware die Maschine dazu, eine bösartige Komponente von einem von Hackern kontrollierten Server abzurufen und diese im Windows-Betriebssystem zu installieren.
Kaspersky hat erklärt, dass es nicht in der Lage war, „eine Kopie der Daten vom C2-Server (Command and Control) zu erhalten“. Das Unternehmen erhielt jedoch einige Beweise dafür, dass die Macher von CosmicStrand versuchten, die infizierten Systeme aus der Ferne zu übernehmen.
Wie wird CosmicStrand verbreitet?
Kaspersky konnte auch nicht bestätigen, wie CosmicStrand auf den Computern des Opfers eingeführt wurde. Der Bericht deutet jedoch darauf hin, dass es entweder von einem anderen Malware-Stamm stammen könnte, der bereits im System vorhanden war, oder dass Hacker physischen Zugriff auf die Hardware erhalten haben könnten.
Das Unternehmen erklärt: „Wenn wir uns die verschiedenen Firmware-Images ansehen, die wir erhalten konnten, gehen wir davon aus, dass die Änderungen möglicherweise mit einem automatisierten Patcher durchgeführt wurden. Wenn dies der Fall wäre, hätten die Angreifer zuvor Zugriff auf den Computer des Opfers gehabt, um die Firmware des Motherboards zu extrahieren, zu modifizieren und zu überschreiben.“
Wie sich CosmicStrand so lange versteckt hat
Dem Bericht zufolge ist CosmicStrand nicht die erste UEFI-basierte Malware, da die Antivirus-Industrie im Laufe der Jahre viele andere Stämme entdeckt hat. CosmicStrand hat es jedoch geschafft, sich mehrere Jahre zu verstecken.
Laut Recherchen von Kaspersky wurde erstmals im Dezember 2016 festgestellt, dass eine Probe der Malware zum ersten Mal mit einem von Hackern kontrollierten Server kommunizierte. Wiederum wurde 2020 eine weitere Probe gefunden, die eine Verbindung zu einem anderen von Hackern kontrollierten Server herstellte. Das Antivirenunternehmen hat dies getan erwähnte auch, dass der chinesische Antivirus-Anbieter Qihoo 360 entdeckte 2017 auch eine frühe Variante von CosmicStrand, die ein Asus B85M-Motherboard betraf.
Darüber hinaus fügte Kaspersky hinzu, dass der Bericht von Qihoo anfangs andeutete, dass der Käufer wahrscheinlich ein „Backdoor-Motherboard erhalten hatte, nachdem er eine Bestellung bei einem Second-Hand-Händler aufgegeben hatte“. Kaspersky konnte die Informationen jedoch nicht bestätigen.
Lesen Sie auch: Microsoft hat vor einer Android-Malware gewarnt, die Ihr mobiles Guthaben leeren kann. Klicken hier um mehr darüber zu lesen.