[08/10/2021] Los investigadores de ESET han descubierto un bootkit UEFI previamente indocumentado en el mundo real que persiste en la partición del sistema EFI (ESP). El bootkit, al que ESET ha llamado ESPecter, puede eludir la aplicación de firmas de controladores de Windows para cargar su propio controlador sin firmar, lo que facilita sus actividades de espionaje. ESPecter es el segundo descubrimiento de un bootkit UEFI que persiste en el ESP y muestra cómo las amenazas UEFI del mundo real ya no se limitan a los implantes de flash SPI como los utilizados por Lojax, que fue descubierto por ESET en el 2018.
"ESPecter fue descubierto en una máquina comprometida junto con un componente cliente en modo usuario con funcionalidades de keylogging y robo de documentos, por lo que ESET Research cree que ESPecter se utiliza principalmente para el espionaje. Curiosamente, rastreamos las raíces de esta amenaza hasta al menos 2012; anteriormente operaba como un bootkit para sistemas con BIOS heredadas. A pesar de la larga existencia de ESPecter, sus operaciones y su actualización a UEFI pasaron desapercibidas y no han sido documentadas hasta ahora", señaló el investigador de ESET Anton Cherepanov, que descubrió y analizó la amenaza junto al investigador de ESET, Martin Smolár.
"En los últimos años, hemos visto ejemplos de pruebas de concepto de bootkits UEFI, documentos filtrados e incluso código fuente filtrado que sugieren la existencia de malware UEFI real, ya sea en forma de implantes de flash SPI o de ESP. A pesar de todo lo anterior, sólo se han descubierto cuatro casos reales de malware UEFI, incluido ESPecter", explicó Cherepanov.
Observando la telemetría de ESET, anotó el investigador, ESET Research pudo datar los inicios de este bootkit al menos en el 2012. "Lo interesante es que los componentes del malware apenas han cambiado en todos estos años, y las diferencias entre las versiones del 2012 y el 2020 no son tan significativas como cabría esperar. Después de todos estos años de cambios insignificantes, los actores de la amenaza detrás de ESPecter aparentemente decidieron trasladar su malware de los sistemas BIOS heredados a los modernos sistemas UEFI”.
Añadió que la segunda carga útil desplegada por ESPecter es una puerta trasera que admite un amplio conjunto de comandos y contiene varias capacidades de exfiltración automática de datos, como el robo de documentos, el registro de teclas y la monitorización de la pantalla de la víctima mediante la realización de capturas de pantalla periódicas. Todos los datos recogidos se almacenan en un directorio oculto.
"ESPecter demuestra que los actores de las amenazas confían en los implantes de firmware UEFI cuando se trata de la persistencia del pre-OS y, a pesar de los mecanismos de seguridad existentes como el UEFI Secure Boot, invierten su tiempo en la creación de malware que sería fácilmente bloqueado por dichos mecanismos, si se activan y configuran correctamente", añadió Smolár.
Para mantenerse a salvo de ESPecter o de amenazas similares, ESET aconseja a los usuarios que sigan estas sencillas reglas: utilizar siempre la última versión del firmware; asegurarse de que el sistema está correctamente configurado y que el Secure Boot está activado; y configurar la Gestión de Cuentas Privilegiadas para ayudar a evitar que los adversarios accedan a las cuentas privilegiadas necesarias para la instalación del bootkit.
CIO, Perú