ESPecter

Uma ameaça de malware que tem sido potencialmente capaz de evitar a detecção por quase uma década, foi finalmente detectada pelos pesquisadores de Infosec. Descoberta por especialistas em segurança cibernética, a ameaça chamada ESPecter é um bootkit projetado para carregar drivers não assinados para a unidade ESP (Partição do Sistema EFI) dos sistemas infectados.

Os pesquisadores rastrearam as origens da ameaça até pelo menos 2012. Durante esse período significativo, a mudança mais drástica sofrida pelo malware foi a mudança do BIOS legado e do Master Boot Record para seu sucessor UEFI. A interface de firmware extensível unificada ou UEFI é um componente crucial que conecta o firmware da máquina ao sistema operacional.

Até agora, o ESPecter não foi atribuído a nenhum autor de ameaça específico, devido à falta de evidências suficientes. Certos sinais encontrados nos componentes da ameaça, tais como suas mensagens de depuração, sugerem que seus criadores são indivíduos que falam chinês. O método de distribuição usado na entrega do ESPecter é igualmente desconhecido no momento. O ator da ameaça pode estar usando uma vulnerabilidade UEFI de dia zero, um bug conhecido, mas ainda não corrigido, ou pode ter acesso físico às máquinas visadas.

Detalhes Técnicos

O ESPecter se posiciona no ESP e estabelece sua persistência por meio de uma correção aplicada ao Gerenciador de Inicialização do Windows. Além disso, a correção fornece ao ESPecter a capacidade de ignorar completamente os protocolos DSE (Windows Driver Signature Enforcement) e carregar seus próprios drivers não assinados na máquina comprometida. A ameaça também pode injetar componentes inseguros adicionais para estabelecer uma conexão com o servidor de Comando e Controle (C2, C&C) do invasor.

Os pesquisadores descobriram módulos de keylogging e de roubo de arquivos nos sistemas infectados com ESPecter, indicando que o objetivo principal do autor da ameaça poderia ser a espionagem cibernética e a vigilância dos alvos escolhidos. Na verdade, o ESPecter também está equipado com a funcionalidade de fazer capturas de tela arbitrárias e armazená-las em um diretório oculto, junto com os registros e documentos principais coletados.

No entanto, para realizar suas atividades ameaçadoras, o ESPecter precisa que o recurso Secure Boot no sistema seja desativado. A Inicialização segura foi introduzida pela primeira vez como um recurso do Windows com o lançamento do Windows 8 para que todas as versões anteriores do sistema operacional se tornassem automaticamente suscetíveis a um ataque do ESPecter. Usar uma versão mais recente do Windows não é suficiente. Numerosas vulnerabilidades de firmware UEFI surgiram nos últimos dois anos que permitem que os invasores desabilitem ou contornem a inicialização segura.