Phát hiện mã độc rootkit trong firmware của ASUS và Gigabyte

Nhóm nghiên cứu về các mối đe dọa bảo mật tại hãng sản xuất phần mềm diệt virus Kaspersky đã phát hiện ra một mã độc dạng rootkit có tên CosmicStrand. Trên thực tế, đây không phải là mã độc mới mà là một biến thể của trojan Spy Shadow xuất hiện từ năm 2016 - 2017.

CosmicStrand là một mã độc dạng rootkit UEFI và nó được tìm thấy trong firmware của ASUS và Gigabyte. Do đó, nó được gọi là Advanced Persistent Threat (APT - Mối đe dọa nâng cao liên tục) vì rất khó bị loại bỏ. Cho dù bạn có cài lại Windows bao nhiều lần đi nữa cũng không thể loại bỏ dạng rootkit UEFI như thế này.

Về hệ điều hành, Kaspersky nhận thấy rằng cho tới nay chỉ có hệ điều hành Windows bị tấn công và xâm nhập.

"Tất cả máy tính bị tấn công đều chạy Windows. Mỗi khi máy tính khởi động lại, những dòng code độc hại sẽ được thực thi sau khi Windows khởi động xong. Mục đích của nó là kết nối tới máy chủ C2 và tải xuống những tệp độc hại bổ sung", Kaspersky chia sẻ.

Mặc dù xác định được loại mã độc nhưng Kaspersky không biết ban đầu nó được lây nhiễm như thế nào. Một số người dùng báo cáo rằng bo mạch chủ cũ mà họ đặt mua trực tuyến đã bị nhiễm virus khi họ nhận được.

Đối với những người dùng bo mạch chủ Gigabyte và ASUS chạy Windows, bật Secure Boot là một lựa chọn khả thi để chống lại mọi tác động có hại. Tất nhiên là nếu có kiến thức về máy tính, bạn có thể cài lại BIOS của mình. Tuy nhiên, hãy nhớ phải tải firmware chính thức từ trang web của các hãng.

Cho tới nay, nạn nhân của CosmicStrand chủ yếu là người tiêu dùng ở Trung Quốc, Việt Nam, Iran và Nga.