Mã độc UEFI được tìm thấy trên các bo mạch chủ của Gigabyte và Asus của các thiết bị Windows ở các nước như Nga, Trung Quốc, Iran và Việt Nam.
Bộ rootkit UEFI này có thể được ẩn giấu trong nhiều năm
Bộ rootkit UEFI đầu tiên được phát hiện vào năm 2018.
Gần đây, các nhà nghiên cứu của Kaspersky đã tiết lộ một rootkit phần mềm độc hại mới có tên “CosmicStrand”, được cho là sản phẩm của một nhóm Trung Quốc không rõ danh tính.
Bộ rootkit đã được tìm thấy trong firmware của một số bo mạch chủ Asus và Gigabyte được trang bị chipset Intel H81, vậy nên hầu như các thiết bị Windows ở các nước như Nga, Trung Quốc, Iran và Việt Nam đều bị xâm nhập.
Vì firmware UEFI là đoạn mã đầu tiên chạy khi bạn bật máy tính nên CosmicStrand rất khó xóa và cần phải dùng đến các công cụ đặc biệt trong khi PC tắt nguồn.
Được biết, cách thức hoạt động của nó rất đơn giản. Đầu tiên, mã độc này lây nhiễm vào quá trình khởi động bằng cách đặt cái gọi là “hooks”. Sau đó, hacker có thể cài đặt một hook khác dưới dạng một hàm trong nhân Windows. Chức năng giúp liên hệ với máy chủ điều khiển và bị điều khiển tải xuống phần mềm độc hại bổ sung trên PC bị nhiễm.
CosmicStrand có thể vô hiệu hóa các bảo vệ hạt nhân như PatchGuard, là một tính năng bảo mật quan trọng của Windows. Cho nên, điều các nhà nghiên cứu của Kaspersky lo lắng là mã độc này đã được ẩn trong nhiều năm nay.
Hãy truy cập TinhayVIP.com mỗi ngày để đón đọc thêm thông tin mới nhé!
