Los investigadores descubren el kit de arranque UEFI que se ha dirigido a computadoras con Windows desde 2012

Investigadores de ciberseguridad revelaron el martes detalles de un kit de arranque de Interfaz de firmware extensible unificada (UEFI) previamente indocumentado que fue utilizado en 2012 por actores de amenazas para defraudar los sistemas de Windows mediante la modificación de un binario legítimo de Windows Boot Manager para que sea persistente, lo que una vez más demuestra cómo las tecnologías que supuestamente protegen el medio ambiente para que no carguen el sistema operativo se están convirtiendo cada vez más en un «objetivo tentador».

La empresa eslovaca de ciberseguridad ESET ha denominado al nuevo malware «ESPecter» con el nombre en código «ESPecter» porque persiste en la partición del sistema EFI (ESP) y omite la aplicación de la firma del controlador de Microsoft Windows para cargar su propio controlador sin firmar. Se puede utilizar para facilitar actividades de espionaje como como robo de documentos, registro de teclas y monitoreo de pantalla tomando capturas de pantalla con regularidad.

“ESPecter muestra que los actores de amenazas no solo confían en los implantes de firmware UEFI cuando se trata de la persistencia frente al sistema operativo y, a pesar de los mecanismos de seguridad existentes como UEFI Secure Boot, invierten su tiempo en crear malware que dichos mecanismos pueden bloquear fácilmente podría serlo si se activa y configura correctamente «, dijeron los investigadores de ESET Martin Smolár y Anton Cherepanov en un artículo técnico publicado el martes.

Después de LoJax, MosaicRegressor y, más recientemente, FinFisher, el desarrollo es la cuarta vez que se descubren casos reales de malware UEFI hasta la fecha: un Administrador de arranque de Windows parcheado.

«Al parchear el administrador de arranque de Windows, los atacantes pueden ejecutarlo en las primeras etapas del proceso de inicio del sistema, antes de que el sistema operativo esté completamente cargado», dijeron los investigadores. «Esto permite que ESPecter omita la aplicación de la firma del controlador de Windows (DSE) para ejecutar su propio controlador sin firmar al iniciar el sistema».

Sin embargo, en los sistemas que admiten el modo de arranque BIOS heredado, ESPecter gana persistencia al cambiar el código Master Boot Record (MBR), que se encuentra en el primer sector físico de la unidad, para permitir que el administrador de arranque se cargue y cargue el controlador del kernel malicioso. . que se utiliza para cargar cargas útiles adicionales en modo de usuario y configurar el registrador de teclas antes de que se borren sus propios rastros de la computadora.

En la fase final, el controlador se utiliza para inyectar componentes de modo de usuario de siguiente nivel en ciertos procesos del sistema para establecer comunicación con un servidor remoto, lo que permite que un atacante comandar y controlar la máquina comprometida, sin mencionar la descarga y ejecución de más malware. o comandos extraídos del servidor.

ESET no atribuyó el bootkit a ningún estado-nación o grupo de piratería en particular, pero el uso de mensajes de depuración chinos en la carga útil del cliente en modo usuario ha aumentado la posibilidad de que sea obra de un actor de amenazas desconocido de habla china.

«Aunque Secure Boot se interpone en el camino de los binarios UEFI no confiables del ESP, en los últimos años hemos sido testigos de varias vulnerabilidades de firmware UEFI que afectan a miles de dispositivos que permiten que Secure Boot sea desactivado o ignorado», afirmaron los investigadores. «Esto demuestra que proteger el firmware UEFI es una tarea exigente y la forma en que los diferentes proveedores aplican las políticas de seguridad y utilizan los servicios UEFI no siempre es ideal».