ESPecter
Cartão de pontuação de ameaças
EnigmaSoft Threat Scorecard
Os EnigmaSoft Threat Scorecards são relatórios de avaliação para diferentes ameaças de malware que foram coletadas e analisadas por nossa equipe de pesquisa. Os Scorecards de Ameaças da EnigmaSoft avaliam e classificam as ameaças usando várias métricas, incluindo fatores de risco reais e potenciais, tendências, frequência, prevalência e persistência. Os Scorecards de Ameaças da EnigmaSoft são atualizados regularmente com base em nossos dados e métricas de pesquisa e são úteis para uma ampla gama de usuários de computador, desde usuários finais que buscam soluções para remover malware de seus sistemas até especialistas em segurança que analisam ameaças.
Os Scorecards de Ameaças da EnigmaSoft exibem uma variedade de informações úteis, incluindo:
Popularity Rank: The ranking of a particular threat in EnigmaSoft’s Threat Database.
Nível de gravidade: O nível de gravidade determinado de um objeto, representado numericamente, com base em nosso processo de modelagem de risco e pesquisa, conforme explicado em nossos Critérios de Avaliação de Ameaças .
Computadores infectados: O número de casos confirmados e suspeitos de uma determinada ameaça detectada em computadores infectados conforme relatado pelo SpyHunter.
Consulte também Critérios de Avaliação de Ameaças .
| Nível da Ameaça: | 100 % (Alto) |
| Computadores infectados: | 1 |
| Visto pela Primeira Vez: | October 8, 2021 |
| Visto pela Última Vez: | October 8, 2021 |
| SO (s) Afetados: | Windows |
Uma ameaça de malware que tem sido potencialmente capaz de evitar a detecção por quase uma década, foi finalmente detectada pelos pesquisadores de Infosec. Descoberta por especialistas em segurança cibernética, a ameaça chamada ESPecter é um bootkit projetado para carregar drivers não assinados para a unidade ESP (Partição do Sistema EFI) dos sistemas infectados.
Os pesquisadores rastrearam as origens da ameaça até pelo menos 2012. Durante esse período significativo, a mudança mais drástica sofrida pelo malware foi a mudança do BIOS legado e do Master Boot Record para seu sucessor UEFI. A interface de firmware extensível unificada ou UEFI é um componente crucial que conecta o firmware da máquina ao sistema operacional.
Até agora, o ESPecter não foi atribuído a nenhum autor de ameaça específico, devido à falta de evidências suficientes. Certos sinais encontrados nos componentes da ameaça, tais como suas mensagens de depuração, sugerem que seus criadores são indivíduos que falam chinês. O método de distribuição usado na entrega do ESPecter é igualmente desconhecido no momento. O ator da ameaça pode estar usando uma vulnerabilidade UEFI de dia zero, um bug conhecido, mas ainda não corrigido, ou pode ter acesso físico às máquinas visadas.
Detalhes Técnicos
O ESPecter se posiciona no ESP e estabelece sua persistência por meio de uma correção aplicada ao Gerenciador de Inicialização do Windows. Além disso, a correção fornece ao ESPecter a capacidade de ignorar completamente os protocolos DSE (Windows Driver Signature Enforcement) e carregar seus próprios drivers não assinados na máquina comprometida. A ameaça também pode injetar componentes inseguros adicionais para estabelecer uma conexão com o servidor de Comando e Controle (C2, C&C) do invasor.
Os pesquisadores descobriram módulos de keylogging e de roubo de arquivos nos sistemas infectados com ESPecter, indicando que o objetivo principal do autor da ameaça poderia ser a espionagem cibernética e a vigilância dos alvos escolhidos. Na verdade, o ESPecter também está equipado com a funcionalidade de fazer capturas de tela arbitrárias e armazená-las em um diretório oculto, junto com os registros e documentos principais coletados.
No entanto, para realizar suas atividades ameaçadoras, o ESPecter precisa que o recurso Secure Boot no sistema seja desativado. A Inicialização segura foi introduzida pela primeira vez como um recurso do Windows com o lançamento do Windows 8 para que todas as versões anteriores do sistema operacional se tornassem automaticamente suscetíveis a um ataque do ESPecter. Usar uma versão mais recente do Windows não é suficiente. Numerosas vulnerabilidades de firmware UEFI surgiram nos últimos dois anos que permitem que os invasores desabilitem ou contornem a inicialização segura.
