?反病毒廠商卡巴斯基的一支安全威脅研究團隊近日發現了名為“CosmicStrand”的惡意程序。事實上，這款惡意程序并不是新病毒，而且曾在 2016-2017 年爆發“Spy Shadow”木馬的更早版本。目前在華碩和技嘉的固件中發現了這款 UEFI 惡意程序，即使重新安裝 Windows 系統也無法移除這款 UEFI 惡意程序。

卡巴斯基表示現階段只有 ??Windows?? 系統受到攻擊：“現階段發現的所有攻擊設備都運行 Windows 系統：每次電腦重啟，在 Windows 重啟之后將會執行一段惡意代碼。該代碼的目的是連接到 C2（命令和控制）服務器，并下載額外可執行的惡意程序”。

卡巴斯基在深度剖析 Securelist 文章中，對該惡意程序的運行機制進行了詳細的描述：

工作流程包括連續設置鉤子，使惡意代碼持續到OS啟動后。涉及的步驟是：

1. 整個鏈條的起始是感染固件引導

2. 該惡意軟件在啟動管理器中設置了惡意鉤，允許在執行Windows的內核加載程序之前修改它。

3. 通過篡改OS加載器，攻擊者可以在Windows內核的功能中設置另一個鉤子。

4. 當后來在OS的正常啟動過程中調用該功能時，惡意軟件最后一次控制執行流程。

5. 它在內存中部署了一個殼牌碼，并與C2服務器聯系以檢索實際的惡意有效載荷以在受害者的機器上運行。