Руткит је један од најопаснијих типова малвера који може да зарази ваш рачунар. У јулу 2022. године, Касперски је открио рооткит који посебно циља на УЕФИ фирмвер Гигабите и Асус матичних плоча са Интел Х81 чипсетом. Овај рооткит, назван ЦосмицСтранд, могао би да представља озбиљну претњу вашем рачунару пошто су актери напредних трајних претњи (АТП) његов програмер.
Познати су по стварању смртоносних претњи за приступ и контролу рачунара и мрежа. Изненађујуће, максимални ЦосмицСтранд напади су се десили локалним грађанима Кине, Русије, Вијетнама и Ирана уместо пословним организацијама.
Шта је ЦосмицСтранд и чему служи?
ЦосмицСтранд је а рооткит који нападачима даје потпуну контролу над вашим рачунаром а да ти ништа не знаш. Остаје непримећен било којом врстом традиционалних безбедносних мера након што је скривено инсталиран на УЕФИ фирмвер вашег Виндовс уређаја.
Осим тога, ЦосмицСтранд рооткит има могућност да остане скривен на уређају жртве чак и након што се оперативни систем Виндовс поново инсталира или поправи. Ова способност га чини веома опасним и нечим што не можете олако схватити.
Овај руткит омогућава нападачу да ради све што жели на вашем рачунару, укључујући крађу осетљивих информација, инсталирање другог малвера, па чак и преузимање целог система.
Како се ЦосмицСтранд инсталира на рачунарима?
Према истраживачу на Касперски, хакери су успели да инсталирају ЦосмицСтранд на фирмвер жртве тако што су направили модификације ЦСМЦОРЕ ДКСЕ драјвера. Ова модификација приморава драјвер да покрене низ кодова при покретању система који покреће преузимање и инсталацију компоненте ЦосмицСтранд.
Испитивањем заражених слика фирмвера, истраживачи су открили да су нападачи направили модификације у ЦСМЦОРЕ ДКСЕ драјвер тако што ће добити претходни приступ рачунару жртве и преписати фирмвер да би се увео аутоматизовани патцхер. Овај аутоматски патцхер је одговоран за преусмеравање улазне тачке ЦСМЦОРЕ ДКСЕ драјвера на злонамерни код ускладиштен у РЕЛОЦ датотеци извршне датотеке.
Како можете заштитити свој систем од ЦосмицСтранда и других руткита?
Најбољи начин да заштитите свој систем од ЦосмицСтранд-а и других руткита је да инсталирате робусно безбедносно решење које може да открије и уклони такве претње.
Такође би требало да одржавате свој оперативни систем и сав софтвер ажурним са најновијим безбедносним закрпама. Ово ће помоћи да се затвори све рупе које нападачи могу да искористе да уђу у ваш систем. Требао би извршите ажурирање фирмвера и сва друга битна ажурирања преко званичних, поузданих извора.
Такође је од суштинског значаја да правите редовне резервне копије ваших података како бисте могли да вратите свој систем у случају да се зарази руткитом или било којим другим злонамерним софтвером.
Осим тога, најбоље би било да практикујете и основне мере безбедности као што је не кликање на непознате линкове или прилоге, не преузимајући пиратски софтвер или садржај са непоузданих веб локација и не делите своје личне податке са било ким. Ово ће вам помоћи заштитите се од напада социјалног инжењеринга.
Да ли би требало да будете забринути за ЦомицСтранд?
Од августа 2022. постоји врло мало случајева ЦомицСтранд руткит напада. Међутим, с обзиром на софистицираност рооткита и његову способност да остане скривена, можда ћемо видети више напада у будућности. Такође, за сада су на циљној листи ЦомицСтранда само одређене матичне плоче из Гигабите-а и Асуса, али је могуће да су и други произвођачи матичних плоча у опасности.
Ако имате Гигабите или Асус матичну плочу са Интел Х81 чипсетом, неопходно је да проверите да ли је ваш систем заражен и ако откријете рооткит, предузмете кораке да га уклоните. Такође би требало да инсталирате поуздано безбедносно решење за заштиту вашег система од таквих претњи у будућности.
Иако ЦомицСтранд рооткит није распрострањена претња, кључно је да будете свесни тога и да предузмете кораке да заштитите свој систем.
