ESpecter Bootkit ha estado plantando puertas traseras desde 2012
ESpecter es un implante malicioso, que se ha identificado como bootkit. Aunque este malware se identificó recientemente, ha estado activo desde 2012, lo que demuestra lo sigiloso que puede ser. Por supuesto, su capacidad para evitar las herramientas de seguridad no es la única razón para esto, tampoco se ha utilizado en ataques a gran escala. En cambio, sus creadores parecen haber estado usando el kit de arranque ESpecter en ataques dirigidos, con un número muy limitado de víctimas.
Durante la última década, secciones específicas de ESpecter han sufrido cambios masivos para hacerlas compatibles con los sistemas informáticos actuales. Por ejemplo, las variantes más antiguas funcionaban infiltrándose en el BIOS y en el registro de arranque maestro (MBR). Sin embargo, los sistemas actuales utilizan la interfaz de firmware extensible unificada (UEFI) antes de cargar el sistema operativo. Es por eso que la versión posterior de ESpecter se centró en infiltrarse en el componente UEFI.
¿Qué malware implementó ESpecter Bootkit?
Normalmente, los bootkits se utilizan en combinación con otro malware de alto perfil que es difícil de detectar. En estas campañas, los delincuentes solían utilizar una puerta trasera personalizada que el ESpecter cargaba automáticamente. Gracias a esta puerta trasera, los delincuentes podrían robar archivos, registrar pulsaciones de teclas y ejecutar comandos remotos. Estas características probablemente significan que el propósito de las campañas de ESpecter era el espionaje.
Un dato interesante de información sobre el ataque ESpecter es que solo funciona en sistemas que tienen la función de arranque seguro desactivada. Esta función se introdujo en Windows 8, por lo que todas las máquinas con Windows que ejecutan Windows 8 o una versión posterior pueden estar a salvo de ESpecter gracias a la función de arranque seguro. No hay suficiente información sobre los métodos específicos utilizados para plantar el ESpecter en las computadoras. Los expertos sugieren que los atacantes pueden haber tenido acceso físico a las máquinas de sus víctimas o que tienen acceso a vulnerabilidades desconocidas en los servicios UEFI.