ESPecter
Cuadro de Mando de Amenazas
Cuadro de mando de amenazas EnigmaSoft
EnigmaSoft Threat Scorecards son informes de evaluación de diferentes amenazas de malware que nuestro equipo de investigación ha recopilado y analizado. Los cuadros de mando de amenazas de EnigmaSoft evalúan y clasifican las amenazas utilizando varias métricas que incluyen factores de riesgo reales y potenciales, tendencias, frecuencia, prevalencia y persistencia. Los cuadros de mando de amenazas de EnigmaSoft se actualizan regularmente en función de nuestros datos y métricas de investigación y son útiles para una amplia gama de usuarios de computadoras, desde usuarios finales que buscan soluciones para eliminar malware de sus sistemas hasta expertos en seguridad que analizan amenazas.
EnigmaSoft Threat Scorecards muestra una variedad de información útil, que incluye:
Popularity Rank: The ranking of a particular threat in EnigmaSoft’s Threat Database.
Nivel de severidad: El nivel de severidad determinado de un objeto, representado numéricamente, basado en nuestro proceso de modelado de riesgo e investigación, como se explica en nuestros Criterios de evaluación de amenazas .
Computadoras infectadas: la cantidad de casos confirmados y sospechosos de una amenaza particular detectada en computadoras infectadas según lo informado por SpyHunter.
Consulte también Criterios de evaluación de amenazas .
| Nivel de amenaza: | 100 % (Elevado) |
| Computadoras infectadas: | 1 |
| Visto por primera vez: | October 8, 2021 |
| Ultima vez visto: | October 8, 2021 |
| SO(s) afectados: | Windows |
Una amenaza de malware que potencialmente ha podido evitar la detección durante casi una década finalmente ha sido detectada por los investigadores de infosec. Descubierta por expertos en ciberseguridad, la amenaza llamada ESPecter es un kit de arranque diseñado para cargar controladores sin firmar en la unidad ESP (EFI System Partition) de los sistemas infectados.
Los investigadores rastrearon los orígenes de la amenaza al menos hasta 2012. Durante este período significativo, el cambio más drástico que ha sufrido el malware es el cambio de dirigirse a BIOS heredados y Master Boot Record a su sucesor UEFI. La Interfaz de firmware extensible unificada o UEFI es un componente crucial que conecta el firmware de la máquina con el sistema operativo.
Hasta ahora, ESPecter no se ha atribuido a ningún actor de amenaza específico, debido a la falta de evidencia suficiente. Ciertos signos encontrados en los componentes de la amenaza, como sus mensajes de depuración, sugieren que sus creadores son personas de habla china. El método de distribución utilizado en la entrega de ESPecter es igualmente desconocido en este momento. El actor de la amenaza podría estar usando una vulnerabilidad UEFI de día cero, un error conocido pero aún sin parche, o puede tener acceso físico a las máquinas objetivo.
Detalles técnicos
ESPecter se coloca en el ESP y establece su persistencia a través de un parche aplicado al Administrador de arranque de Windows. Además, el parche proporciona a ESPecter la capacidad de omitir por completo los protocolos de aplicación de firmas de controladores de Windows (DSE) y cargar sus propios controladores sin firmar en la máquina comprometida. La amenaza también puede inyectar componentes inseguros adicionales para establecer una conexión con el servidor de Comando y Control (C2, C&C) del atacante.
Los investigadores descubrieron módulos de registro de teclas y robo de archivos en los sistemas infectados con ESPecter, lo que indica que el objetivo principal del actor de la amenaza podría ser el ciberespionaje y la vigilancia de los objetivos elegidos. De hecho, ESPecter también está equipado con la funcionalidad para tomar capturas de pantalla arbitrarias y almacenarlas en un directorio oculto, junto con los registros de claves y documentos recopilados.
Sin embargo, para realizar sus actividades amenazantes, ESPecter necesita que la función de arranque seguro en el sistema esté deshabilitada. El arranque seguro se introdujo por primera vez como una función de Windows con el lanzamiento de Windows 8, por lo que todas las versiones anteriores del sistema operativo se vuelven automáticamente susceptibles a un ataque ESPecter. Sin embargo, usar una versión más reciente de Windows no es suficiente. En los últimos años han surgido numerosas vulnerabilidades de firmware UEFI que permiten a los atacantes deshabilitar o omitir por completo el arranque seguro.
