ESPecter
Cartoncino segnapunti di minaccia
Scheda di valutazione delle minacce di EnigmaSoft
Le EnigmaSoft Threat Scorecard sono rapporti di valutazione per diverse minacce malware che sono state raccolte e analizzate dal nostro team di ricerca. Le EnigmaSoft Threat Scorecard valutano e classificano le minacce utilizzando diverse metriche tra cui fattori di rischio reali e potenziali, tendenze, frequenza, prevalenza e persistenza. Le EnigmaSoft Threat Scorecard vengono aggiornate regolarmente in base ai dati e alle metriche della nostra ricerca e sono utili per un'ampia gamma di utenti di computer, dagli utenti finali che cercano soluzioni per rimuovere il malware dai loro sistemi agli esperti di sicurezza che analizzano le minacce.
Le schede di valutazione delle minacce di EnigmaSoft mostrano una serie di informazioni utili, tra cui:
Popularity Rank: The ranking of a particular threat in EnigmaSoft’s Threat Database.
Livello di gravità: il livello di gravità determinato di un oggetto, rappresentato numericamente, in base al nostro processo di modellazione del rischio e alla nostra ricerca, come spiegato nei nostri criteri di valutazione delle minacce .
Computer infetti: il numero di casi confermati e sospetti di una particolare minaccia rilevati su computer infetti come riportato da SpyHunter.
Vedere anche Criteri di valutazione delle minacce .
| Livello di minaccia: | 100 % (Alto) |
| Computer infetti: | 1 |
| Visto per la prima volta: | October 8, 2021 |
| Ultima visualizzazione: | October 8, 2021 |
| Sistemi operativi interessati: | Windows |
Una minaccia malware che è stata potenzialmente in grado di evitare il rilevamento per quasi un decennio è stata finalmente catturata dai ricercatori di infosec. Scoperta da esperti di sicurezza informatica, la minaccia denominata ESPecter è un bootkit progettato per caricare driver non firmati sull'unità ESP (EFI System Partition) del sistema infetto.
I ricercatori hanno rintracciato le origini della minaccia almeno nel 2012. Durante questo periodo significativo, il cambiamento più drastico subito dal malware è il passaggio dal BIOS legacy e Master Boot Record al loro successore UEFI. L'interfaccia firmware estensibile unificata o UEFI è un componente cruciale che collega il firmware della macchina al sistema operativo.
Finora ESPecter non è stato attribuito a nessun attore di minacce specifico, a causa della mancanza di prove sufficienti. Alcuni segni trovati nei componenti della minaccia, come i suoi messaggi di debug, suggeriscono che i suoi creatori siano individui di lingua cinese. Il metodo di distribuzione utilizzato nella consegna di ESPecter è allo stesso modo sconosciuto al momento. L'autore della minaccia potrebbe utilizzare una vulnerabilità UEFI zero-day, un bug noto ma ancora senza patch, o potrebbe avere accesso fisico alle macchine mirate.
Dettagli tecnici
ESPecter si inserisce nell'ESP e ne stabilisce la persistenza tramite una patch applicata al Boot Manager di Windows. Inoltre, la patch fornisce a ESPecter la capacità di ignorare completamente i protocolli Windows Driver Signature Enforcement (DSE) e caricare i propri driver non firmati sulla macchina compromessa. La minaccia può anche iniettare componenti non sicuri aggiuntivi per stabilire una connessione al server Command-and-Control (C2, C&C) dell'attaccante.
I ricercatori hanno scoperto moduli di keylogging e furto di file sui sistemi infettati da ESPecter, indicando che l'obiettivo principale dell'autore della minaccia potrebbe essere il cyber-spionaggio e la sorveglianza degli obiettivi scelti. In effetti, ESPecter è anche dotato della funzionalità per acquisire schermate arbitrarie e memorizzarle in una directory nascosta, insieme ai registri e ai documenti chiave raccolti.
Tuttavia, per eseguire le sue attività minacciose, ESPecter ha bisogno che la funzione Secure Boot sul sistema sia disabilitata. Secure Boot è stato introdotto per la prima volta come funzionalità di Windows con il rilascio di Windows 8, quindi tutte le versioni precedenti del sistema operativo diventano automaticamente suscettibili a un attacco ESPecter. Tuttavia, l'utilizzo di una versione di Windows più recente non è sufficiente. Negli ultimi due anni sono emerse numerose vulnerabilità del firmware UEFI che consentono agli aggressori di disabilitare o aggirare completamente Secure Boot.
