Theo Neowin, phần mềm độc hại này không phải mới mà là một biến thể trước đó của trojan “Spy Shadow” xuất hiện từ năm 2016 đến 2017. CosmicStrand là một bộ rootkit UEFI được tìm thấy trong firmware bo mạch chủ của Asus và Gigabyte bị nhiễm, vì vậy rất khó để loại bỏ. Ngay cả việc cài đặt lại Windows cũng không thể xóa bộ rootkit UEFI này.
Trong thông báo, Kaspersky cho biết chỉ các PC Windows bị tấn công và xâm nhập. Công ty mô tả: “Tất cả các máy bị tấn công đều chạy Windows: mỗi khi máy tính khởi động lại, một chút mã độc sẽ được thực thi. Mục đích của nó là kết nối với máy chủ C2 (command-and-control) và tải xuống tệp thực thi độc hại bổ sung”.
Mặc dù vậy Kaspersky không thể xác định cách thức lây nhiễm được thực hiện ngay từ đầu. Một số người dùng báo cáo các bo mạch chủ cũ mà họ đặt mua trực tuyến đã bị nhiễm virus ngay khi nhận được. Báo cáo cho biết: “Ngay từ đầu, các nhà nghiên cứu đã không thể xác định cách rootkit trên các máy bị nhiễm, nhưng các tài khoản chưa được xác nhận được phát hiện trực tuyến cho thấy một số người dùng đã nhận được thiết bị bị xâm nhập khi đặt mua các thành phần phần cứng trực tuyến”.
Đối với người dùng bo mạch chủ Gigabyte và Asus chạy Windows, bật Secure Boot có thể là một lựa chọn khả thi để chống lại mọi tác động có hại. Tất nhiên, điều tốt nhất nên làm có lẽ là flash lại BIOS, nhưng hãy nhớ tải xuống firmware từ các trang web chính thức của nhà cung cấp bo mạch chủ. Cho đến nay, có vẻ như nạn nhân của CosmicStrand là người tiêu dùng từ Trung Quốc, Việt Nam, Iran và Nga.
Dựa trên nghiên cứu của mình, Kaspersky đã tìm thấy những điểm tương đồng giữa CosmicStrand và một mạng botnet trước đó có tên “MyKings” do các mẫu mã của chúng. Phần mềm thứ hai có nguồn gốc từ Trung Quốc, vì vậy Kaspersky nghĩ rằng điều tương tự cũng có thể xảy ra với bộ rootkit CosmicStrand mới.