ESPecter entra por la puerta de atrás y pasa por alto las soluciones antivirus clásicas. Los investigadores de ESET han descubierto una nueva forma de malware UEFI. La nueva variante de malware anida en la partición del sistema EFI (ESP).
Con ESPecter, los expertos del fabricante europeo de seguridad de TI han descubierto un llamado kit de arranque UEFI que pasa por alto la firma del controlador de Windows y puede cargar su propio controlador sin firmar, lo que facilita mucho las actividades de espionaje. El bootkit actual es un desarrollo posterior del malware UEFI descubierto previamente por ESET. Las soluciones de seguridad de ESET con un escáner UEFI integrado protegen las computadoras privadas y corporativas de esta posible vulnerabilidad.
ESPecter ha estado activo desde 2012
“Pudimos rastrear las raíces de ESPecter hasta 2012. Anteriormente, el programa espía se usaba para sistemas con BIOS desactualizados. A pesar de su larga existencia, ESPecter y sus operaciones, así como la actualización a UEFI, pasaron desapercibidos durante mucho tiempo”, dice el investigador de ESET Anton Cherepanov, quien descubrió el kit de arranque UEFI junto con Martin Smolár.
Variante similar ya en uso anteriormente
ESPecter fue descubierto en una máquina comprometida junto con una función de registro de teclas y robo de documentos. Por esta razón, los investigadores de ESET asumen que ESPecter se utiliza principalmente con fines de espionaje. Usando la telemetría de ESET, los investigadores de ESET pudieron fechar los inicios de este bootkit al menos en 2012. Es interesante que los componentes del malware apenas hayan cambiado a lo largo de los años. Las diferencias entre las versiones de 2012 y 2020 no son tan significativas como cabría esperar. Después de todos estos años de cambios bastante menores, los desarrolladores detrás de ESPecter parecen haber decidido cambiar su malware de los sistemas BIOS heredados a los sistemas UEFI modernos.
Consejos para protegerse contra los bootkits UEFI
"ESPecter muestra que los desarrolladores detrás del malware confían en anidar en el firmware UEFI y lo llevan a cabo a pesar de los mecanismos de seguridad existentes. Con UEFI Secure Boot, estas técnicas se pueden bloquear fácilmente”, continúa Martin Smolár. Para protegerse contra ESPecter o amenazas similares, ESET recomienda a los usuarios que sigan estas sencillas reglas:
- Utilice siempre la última versión de firmware.
- Asegúrese de que el sistema esté configurado correctamente y que el Arranque seguro esté habilitado.
- Configure la gestión de cuentas privilegiadas (PAM) en la empresa para evitar que los atacantes accedan a las cuentas privilegiadas necesarias para la instalación del bootkit.
El uso de una solución de seguridad con un escáner UEFI también protege contra tales amenazas. ESET tiene esta tecnología integrada en sus soluciones de seguridad para endpoints empresariales y domésticos de forma predeterminada.
Más en ESET.com
Acerca de ESET ESET es una empresa europea con sede en Bratislava (Eslovaquia). Desde 1987, ESET ha estado desarrollando un software de seguridad galardonado que ya ha ayudado a más de 100 millones de usuarios a disfrutar de tecnologías seguras. La amplia cartera de productos de seguridad cubre todas las plataformas principales y ofrece a empresas y consumidores de todo el mundo el equilibrio perfecto entre rendimiento y protección proactiva. La empresa tiene una red de ventas global en más de 180 países y oficinas en Jena, San Diego, Singapur y Buenos Aires. Para obtener más información, visite www.eset.de o síganos en LinkedIn, Facebook y Twitter.