ESPecter

Una amenaza de malware que potencialmente ha podido evitar la detección durante casi una década finalmente ha sido detectada por los investigadores de infosec. Descubierta por expertos en ciberseguridad, la amenaza llamada ESPecter es un kit de arranque diseñado para cargar controladores sin firmar en la unidad ESP (EFI System Partition) de los sistemas infectados.

Los investigadores rastrearon los orígenes de la amenaza al menos hasta 2012. Durante este período significativo, el cambio más drástico que ha sufrido el malware es el cambio de dirigirse a BIOS heredados y Master Boot Record a su sucesor UEFI. La Interfaz de firmware extensible unificada o UEFI es un componente crucial que conecta el firmware de la máquina con el sistema operativo.

Hasta ahora, ESPecter no se ha atribuido a ningún actor de amenaza específico, debido a la falta de evidencia suficiente. Ciertos signos encontrados en los componentes de la amenaza, como sus mensajes de depuración, sugieren que sus creadores son personas de habla china. El método de distribución utilizado en la entrega de ESPecter es igualmente desconocido en este momento. El actor de la amenaza podría estar usando una vulnerabilidad UEFI de día cero, un error conocido pero aún sin parche, o puede tener acceso físico a las máquinas objetivo.

Detalles técnicos

ESPecter se coloca en el ESP y establece su persistencia a través de un parche aplicado al Administrador de arranque de Windows. Además, el parche proporciona a ESPecter la capacidad de omitir por completo los protocolos de aplicación de firmas de controladores de Windows (DSE) y cargar sus propios controladores sin firmar en la máquina comprometida. La amenaza también puede inyectar componentes inseguros adicionales para establecer una conexión con el servidor de Comando y Control (C2, C&C) del atacante.

Los investigadores descubrieron módulos de registro de teclas y robo de archivos en los sistemas infectados con ESPecter, lo que indica que el objetivo principal del actor de la amenaza podría ser el ciberespionaje y la vigilancia de los objetivos elegidos. De hecho, ESPecter también está equipado con la funcionalidad para tomar capturas de pantalla arbitrarias y almacenarlas en un directorio oculto, junto con los registros de claves y documentos recopilados.

Sin embargo, para realizar sus actividades amenazantes, ESPecter necesita que la función de arranque seguro en el sistema esté deshabilitada. El arranque seguro se introdujo por primera vez como una función de Windows con el lanzamiento de Windows 8, por lo que todas las versiones anteriores del sistema operativo se vuelven automáticamente susceptibles a un ataque ESPecter. Sin embargo, usar una versión más reciente de Windows no es suficiente. En los últimos años han surgido numerosas vulnerabilidades de firmware UEFI que permiten a los atacantes deshabilitar o omitir por completo el arranque seguro.