O ESPecter entra pela porta dos fundos e contorna as soluções antivírus clássicas. Os pesquisadores da ESET descobriram uma nova forma de malware UEFI. A nova variante do malware se aninha na partição do sistema EFI (ESP).
Com o ESPecter, os especialistas do fabricante europeu de segurança de TI descobriram o chamado kit de inicialização UEFI que ignora a assinatura do driver do Windows e pode carregar seu próprio driver não assinado, o que torna as atividades de espionagem muito mais fáceis. O bootkit atual é um desenvolvimento adicional do malware UEFI descoberto anteriormente pela ESET. As soluções de segurança da ESET com um scanner UEFI integrado protegem computadores privados e corporativos dessa vulnerabilidade potencial.
ESPecter está ativo desde 2012
“Conseguimos rastrear as raízes do ESPecter até 2012. Anteriormente, o programa espião era usado para sistemas com BIOS desatualizado. Apesar de sua longa existência, o ESPecter e suas operações, bem como a atualização para UEFI, passaram despercebidos por muito tempo”, diz o pesquisador da ESET Anton Cherepanov, que descobriu o kit de inicialização UEFI junto com Martin Smolár.
Variante semelhante já em uso anteriormente
O ESPecter foi descoberto em uma máquina comprometida junto com um recurso de keylogging e roubo de documentos. Por esse motivo, os pesquisadores da ESET assumem que o ESPecter é usado principalmente para fins de espionagem. Usando a telemetria da ESET, os pesquisadores da ESET conseguiram datar o início deste bootkit em pelo menos 2012. É interessante que os componentes do malware quase não mudaram ao longo dos anos. As diferenças entre as versões 2012 e 2020 não são tão significativas quanto seria de esperar. Depois de todos esses anos de pequenas mudanças, os desenvolvedores por trás do ESPecter parecem ter decidido mudar seu malware de sistemas BIOS herdados para sistemas UEFI modernos.
Dicas para proteção contra bootkits UEFI
"O ESPecter mostra que os desenvolvedores por trás do malware confiam no aninhamento no firmware UEFI e realizam apesar dos mecanismos de segurança existentes. Com o UEFI Secure Boot, essas técnicas podem ser facilmente bloqueadas”, continua Martin Smolár. Para proteger contra ESPecter ou ameaças semelhantes, a ESET aconselha os usuários a seguir estas regras simples:
- Sempre use a versão mais recente do firmware.
- Verifique se o sistema está configurado corretamente e se o Secure Boot está ativado.
- Configure Privileged Account Management (PAM) na empresa para impedir que invasores acessem contas privilegiadas necessárias para a instalação do bootkit.
O uso de uma solução de segurança com um scanner UEFI também protege contra essas ameaças. A ESET tem essa tecnologia incorporada em suas soluções de segurança de endpoints corporativos e domésticos por padrão.
Mais em ESET.com
Sobre ESET A ESET é uma empresa europeia com sede em Bratislava (Eslováquia). Desde 1987, a ESET vem desenvolvendo software de segurança premiado que já ajudou mais de 100 milhões de usuários a desfrutar de tecnologias seguras. O amplo portfólio de produtos de segurança abrange todas as principais plataformas e oferece a empresas e consumidores em todo o mundo o equilíbrio perfeito entre desempenho e proteção proativa. A empresa possui uma rede global de vendas em mais de 180 países e escritórios em Jena, San Diego, Cingapura e Buenos Aires. Para mais informações, visite www.eset.de ou siga-nos no LinkedIn, Facebook e Twitter.