ESPecter arriva dalla porta sul retro e aggira le classiche soluzioni antivirus. I ricercatori ESET hanno scoperto una nuova forma di malware UEFI. La nuova variante del malware si annida nella partizione di sistema EFI (ESP).
Con ESPecter, gli esperti del produttore europeo di sicurezza IT hanno scoperto un cosiddetto kit di avvio UEFI che aggira la firma del driver di Windows e può caricare il proprio driver non firmato, il che rende le attività di spionaggio molto più semplici. L'attuale bootkit è un ulteriore sviluppo del malware UEFI precedentemente scoperto da ESET. Le soluzioni di sicurezza ESET con uno scanner UEFI integrato proteggono i computer privati e aziendali da questa potenziale vulnerabilità.
ESPecter è attivo dal 2012
“Siamo stati in grado di rintracciare le radici di ESPecter nel 2012. In precedenza, il programma spia veniva utilizzato per sistemi con BIOS obsoleto. Nonostante la sua lunga esistenza, ESPecter e le sue operazioni, così come l'aggiornamento a UEFI, sono passati inosservati per molto tempo", afferma il ricercatore ESET Anton Cherepanov, che ha scoperto il kit di avvio UEFI insieme a Martin Smolár.
Variante simile già in uso in precedenza
ESPecter è stato scoperto su una macchina compromessa insieme a una funzione di keylogging e furto di documenti. Per questo motivo, i ricercatori ESET presumono che ESPecter sia utilizzato principalmente per scopi di spionaggio. Utilizzando la telemetria ESET, i ricercatori ESET sono stati in grado di datare gli inizi di questo bootkit almeno al 2012. È interessante notare che i componenti del malware non sono quasi cambiati nel corso degli anni. Le differenze tra le versioni 2012 e 2020 non sono così significative come ci si aspetterebbe. Dopo tutti questi anni di cambiamenti piuttosto minori, gli sviluppatori dietro ESPecter sembrano aver deciso di cambiare il loro malware dai sistemi BIOS legacy ai moderni sistemi UEFI.
Suggerimenti per la protezione dai bootkit UEFI
"ESPecter mostra che gli sviluppatori dietro il malware si affidano all'annidamento nel firmware UEFI e lo fanno nonostante i meccanismi di sicurezza esistenti. Con UEFI Secure Boot, tali tecniche possono essere facilmente bloccate", continua Martin Smolár. Per proteggersi da ESPecter o minacce simili, ESET consiglia agli utenti di seguire queste semplici regole:
- Utilizzare sempre l'ultima versione del firmware.
- Assicurati che il sistema sia configurato correttamente e che Secure Boot sia abilitato.
- Configurare Privileged Account Management (PAM) in azienda per impedire agli aggressori di accedere agli account con privilegi necessari per l'installazione del bootkit.
L'utilizzo di una soluzione di sicurezza con uno scanner UEFI protegge anche da tali minacce. ESET ha questa tecnologia integrata nelle sue soluzioni di sicurezza degli endpoint aziendali e domestici per impostazione predefinita.
Altro su ESET.com
Informazioni su ESET ESET è una società europea con sede a Bratislava (Slovacchia). Dal 1987, ESET sviluppa software di sicurezza pluripremiati che hanno già aiutato oltre 100 milioni di utenti a usufruire di tecnologie sicure. L'ampio portafoglio di prodotti per la sicurezza copre tutte le principali piattaforme e offre alle aziende e ai consumatori di tutto il mondo il perfetto equilibrio tra prestazioni e protezione proattiva. L'azienda ha una rete di vendita globale in oltre 180 paesi e uffici a Jena, San Diego, Singapore e Buenos Aires. Per maggiori informazioni visita www.eset.de o seguici su LinkedIn, Facebook e Twitter.