Un dangereux malware s’attaque à nos cartes mères et peut survivre à une réinstallation de Windows

Les chercheurs de Kaspersky ont découvert un nouveau type de rootkit puissant pour l'interface UEFI (Unified Extensible Firmware Interface), connu sous le nom de CosmicStrand, qu'ils attribuent à un acteur non identifié venu de Chine.

malware russe etats unis
Crédits : Flickr

Après avoir mis en lumière le malware MoonBounce au début de l’année, l'équipe de recherche sur les menaces de sécurité du fabricant d'antivirus Kaspersky a découvert un autre rootkit, un logiciel implanté dans un ordinateur qui peut donner aux attaquants un accès administrateur, appelé “CosmicStrand”. Ce dernier ne serait pas nouveau, puisqu’il s'agirait d'une évolution d'un malware antérieur appelé Spy Shadow Trojan qui a été découvert dès 2016. Les chercheurs ont trouvé le malware CosmicStrand dans le firmware des cartes mères Asus et Gigabyte.

Les cartes mères infectées examinées par Kaspersky fonctionnaient toutes sur le chipset H81 d'Intel, ce qui suggère « l'existence d'une vulnérabilité commune qui a permis aux attaquants d'injecter leur rootkit dans l'image du firmware ». Pour rappel, Intel a abandonné le chipset en 2020 après l'avoir introduit à la mi-2013.

Lire également : Ce malware indétectable par les antivirus se cache dans un endroit insoupçonné du SSD

Le malware est tenace, il peut survivre à un formatage du disque

Kaspersky précise que ComicStrand délivre un implant au niveau du noyau dans un système Microsoft Windows chaque fois que l'ordinateur démarre, car les pirates ont modifié l'interface entre Windows et le micrologiciel de démarrage, une interface connue sous le nom d'interface micrologicielle extensible unifiée. L'UEFI a remplacé l'ancienne interface de microprogramme BIOS (Basic Input/Output System).

Celle-ci réside dans une puce de mémoire flash, soudée à la carte mère d'un ordinateur. Il s'agit du premier logiciel à s'exécuter au démarrage d'un système, ce qui lui permet d'accéder à tous les composants matériels et de les contrôler, ainsi qu'à diverses parties du système d'exploitation de la machine. Comme l'UEFI se trouve à l'intérieur d'une puce mémoire, les logiciels malveillants qui y sont injectés peuvent survivre aux redémarrages, aux formatages et aux réinstallations de systèmes d'exploitation, permettant ainsi aux acteurs de la menace de maintenir leur présence sur les machines compromises.

Les victimes de CosmicStrand semblent être des particuliers de Chine, du Vietnam, d'Iran et de Russie. Selon Kaspersky, CosmicStrand est utilisé par un acteur de menace inconnu parlant chinois. Il partage des caractéristiques de code avec le malware connu sous le nom de MyKings utilisé pour infecter des serveurs avec un logiciel de minage de cryptomonnaies.


La rédaction vous conseille aussi...

Réagissez à cet article !

Demandez nos derniers articles !

Instagram : la fin du « lien dans ma bio » ? Les liens cliquables arrivent enfin en légende, mais il y a un mais

Instagram teste actuellement une option qui risque de répondre à l’une des plus grandes frustrations des utilisateurs de l’application – que ce soit les « consommateurs » ou les créateurs de contenus….

Votre smartphone Samsung affiche désormais quelles applications vous pouvez utiliser même quand vous n’avez pas de réseau

Alors que la connexion par satellite s’impose progressivement sur nos smartphones, il n’est pas toujours facile de savoir quelles applications fonctionnent avec la technologie. Samsung règle ce problème avec un…

Chrome, Edge, Opera, Brave : mettez vite à jour votre navigateur pour corriger deux failles critiques

Google déploie un correctif en urgence suite à la découverte de deux failles “zero-day” dans le moteur utilisé par plusieurs navigateurs. Chrome, Opera, Brave, Edge ou encore Vivaldi sont concernés….

Ce robot aspirateur Dyson utilise l’IA et un laser pour détecter les saletés au sol

Les robots aspirateurs deviennent de plus en plus intelligents. Les nouveaux modèles utilisent désormais des technologies avancées pour améliorer le nettoyage. Dyson mise cette fois sur l’intelligence artificielle et un…

Gemini peut commander un repas à votre place sur les Galaxy S26 de Samsung

L’automatisation des tâches via l’IA Gemini débarque sur les Galaxy S26. Avec par exemple la possibilité de demander la passation d’une commande sans que vous ayez rien à faire, ou…

Vous ne savez pas quoi regarder sur YouTube ? Ce site vous permet de zapper comme sur une télé

La plus grande qualité de YouTube est également sa plus grande faiblesse : sa profusion insensée de contenus peut être aussi exaltante que paralysante quand on ne sait pas quoi…

Perplexity présente “Personal Computer”, une IA capable d’utiliser vos applications et vos fichiers

Perplexity dévoile un nouveau système baptisé Personal Computer. Cet agent IA peut accéder à vos applications et à vos fichiers pour effectuer des tâches automatiquement. L’entreprise veut transformer l’ordinateur en…

IA

L’IA ne réduit par la charge de travail, elle en rajoute selon cette étude

Contrairement à la croyance populaire, l’introduction de l’IA dans les entreprises n’a pas eu pour effet de soulager les employés, au contraire. Une étude le démontre sur 3 ans d’analyse….

IA

L’émulateur officiel de la Xbox et Xbox 360 pourrait arriver dans quelques mois, parfait pour refaire les classiques

Alors que Microsoft est encore en plein milieu de sa tournée promotionnelle pour sa prochaine Xbox, il se murmure qu’un émulateur officiel serait sur le point de débarquer dans Windows…

Gemini : à quoi sert ce nouveau bouton ? (Indice : il va vous faire gagner du temps)

Google ne se contente pas d’intégrer Gemini dans la plupart de ses services et applications. Le géant de la tech continue d’améliorer son assistant IA. La dernière nouveauté en date…