Ce logiciel malveillant est imbattable, même si vous réinstallez Windows ou changez de disque de stockage

Les développeurs de logiciels malveillants sont toujours à la recherche de nouveaux moyens d’infiltrer l’ordinateur de leurs victimes. Il n’est donc pas surprenant que Kaspersky ait détecté l’existence de un logiciel malveillant capable de survivre à une réinstallation de Windows ou à un changement de disque dur.

Comment y parvient-il ? En se logeant dans le firmware de la carte mère des PC infectés. Selon la société de sécurité informatique, le logiciel malveillant en question s’appelle CosmicStrand et des traces ont été détectées liant son auteur à des hackers chinois. En infectant l’UEFI d’une carte mère le rootkit est capable d’exécuter des processus malveillants à partir de l’ordinateur de l’utilisateur. démarrer du système d’exploitation.

Cela représente un grand danger pour les ordinateurs affectés, car cela signifie que le logiciel malveillant peut se connecter à un serveur contrôlé par des cybercriminels et installer d’autres composants malveillants dans le dos des utilisateurs.

La « bonne nouvelle » est que les cas détectés semblent se concentrer sur des territoires très spécifiques et, pour l’instant, loin de l’Ouest. Kaspersky précise que jusqu’à présent, il n’a été trouvé que sur des ordinateurs en Russie, en Chine, en Iran et au Vietnam. Et l’autre point notable est que les infections ont été enregistrées sur des ordinateurs dont les composants ne sont pas à la pointe de la technologie. Plus précisément, sur les cartes mères de Gigabyte et ASUS avec le chipset H81.

Comment les PC affectés par ce malware ont-ils été infectés ?

logiciels malveillants
Selon l’analyse de Kaspersky, les ordinateurs infectés par CosmicStrand appartenaient à des utilisateurs privés, et non à des entreprises ou des organisations. Mais ce qui est vraiment frappant, c’est qu’il n’y a aucun détail sur la façon dont le malware a pu atteindre ces ordinateurs. Néanmoins, les chercheurs suivent quelques indices assez fermes.

👉​A lire également  Luca Stealer : un nouveau logiciel malveillant vole des crypto monnaies, des mots de passe et des fichiers sur votre ordinateur

Le firmware des cartes mères analysées a montré que les modifications du firmware ont été effectuées via un patch automatique. Cela a permis « l’extraire, le modifier et l’écraser » ils ont dit.

Par conséquent, les experts pensent qu’il existe deux voies d’infection possibles. D’une part, par le biais de logiciels malveillants préexistants sur les ordinateurs ; d’autre part, par le biais de pirates ayant obtenu un accès physique aux ordinateurs. Le second cas semble un peu moins probable, mais d’autres experts en sécurité estiment que le logiciel malveillant pourrait arriver implanté sur les ordinateurs suivants cartes mères d’occasion.

Kaspersky affirme que Cosmic Strand est un rootkit sophistiqué, mais cela ne signifie pas nécessairement qu’il est nouveau. Des versions plus anciennes du malware ont été détectées, datant de 2016 ou 2017, tandis que la variante active la plus actuelle date de 2020.

La grande question est de savoir comment supprimer le logiciel malveillant d’un PC infecté, si réinstaller Windows ou changer le disque dur ne suffit pas. Comme expliqué à PC Mag Il existe quelques options, même si elles ne sont pas les plus pratiques. Le premier, re-flasher le firmware de la carte mère. C’est une tâche que de nombreux fabricants montrent comment faire, bien qu’elle soit principalement destinée aux utilisateurs avancés ou aux techniciens informatiques. La seconde est un peu plus extrême, puisqu’elle implique en changeant le carte mère pour un nouveau ou un plus moderne.

Kaspersky a publié les résultats détaillés de son enquête sur ce malware, afin de comprendre comment il fonctionne et comment il parvient à contourner les obstacles techniques liés à son exécution avant que Windows ne soit chargé dans la mémoire du PC.

👉​A lire également  WhatsApp permet désormais à tous les utilisateurs de transférer les discussions d'Android vers iOS : guide étape par étape