Phần mềm độc hại UEFI được tìm thấy trên bo mạch chủ Gigabyte và Asus của các thiết bị Windows ở các quốc gia như Nga, Trung Quốc, Iran và Việt Nam.
Rootkit UEFI này có thể ẩn trong nhiều năm
Rootkit UEFI đầu tiên được phát hiện vào năm 2018.
Gần đây, các nhà nghiên cứu của Kaspersky đã tiết lộ một rootkit phần mềm độc hại mới có tên “CosmicStrand”, được cho là sản phẩm của một nhóm người Trung Quốc không rõ danh tính.
Rootkit được tìm thấy trong phần mềm cơ sở của một số bo mạch chủ Asus và Gigabyte được trang bị chipset Intel H81, do đó hầu hết các thiết bị Windows ở các quốc gia như Nga, Trung Quốc, Iran và Việt Nam đều bị xâm phạm.
Vì chương trình cơ sở UEFI là mã đầu tiên chạy khi bạn bật máy tính nên CosmicStrand rất khó xóa và đòi hỏi phải có công cụ đặc biệt khi PC đã tắt nguồn.
Cách thức hoạt động của nó rất đơn giản. Đầu tiên, phần mềm độc hại lây nhiễm vào quá trình khởi động bằng cách đặt cái gọi là “móc”. Sau đó, tin tặc có thể cài đặt một móc khác dưới dạng hàm trong nhân Windows. Hàm này giúp liên lạc với máy chủ lệnh và điều khiển và được điều khiển để tải xuống phần mềm độc hại bổ sung trên PC bị nhiễm.
CosmicStrand có thể vô hiệu hóa các biện pháp bảo vệ hạt nhân như PatchGuard, đây là một tính năng bảo mật quan trọng của Windows. Vì vậy, điều khiến các nhà nghiên cứu Kaspersky lo lắng là phần mềm độc hại đã ẩn trong nhiều năm.
Hãy truy cập Sex Shop Online.com mỗi ngày để đọc thêm nhiều thông tin mới nhé!