ESpecter Bootkit tem plantado backdoors desde 2012
ESpecter é um implante malicioso, que foi identificado como um bootkit. Embora esse malware tenha sido identificado recentemente, ele está ativo desde 2012 - isso mostra o quão furtivo ele tem a capacidade de ser. Claro, sua capacidade de evitar ferramentas de segurança não é a única razão para isso - ele também não foi usado em ataques em grande escala. Em vez disso, seus criadores parecem ter usado o kit de inicialização ESpecter em ataques direcionados, com um número muito limitado de vítimas.
Na última década, seções específicas do ESpecter passaram por grandes mudanças para torná-las compatíveis com os sistemas de computador atuais. Por exemplo, variantes mais antigas funcionavam infiltrando-se no BIOS e no Master Boot Record (MBR). No entanto, os sistemas contemporâneos usam a interface de firmware extensível unificada (UEFI) antes de carregar o sistema operacional. É por isso que a versão posterior do ESpecter se concentrou em se infiltrar no componente UEFI.
Qual malware o ESpecter Bootkit implantou?
Normalmente, os bootkits são usados em combinação com outro malware de alto perfil que é difícil de detectar. Nessas campanhas, os criminosos costumam usar uma porta dos fundos customizada que o ESpecter carrega automaticamente. Graças a essa porta dos fundos, os criminosos seriam capazes de roubar arquivos, registrar pressionamentos de tecla e executar comandos remotos. Esses recursos provavelmente significam que o propósito das campanhas do ESpecter era espionagem.
Uma informação interessante sobre o ataque do ESpecter é que ele só funciona em sistemas que têm o recurso Secure Boot desativado. Este recurso foi introduzido no Windows 8, para que todas as máquinas com Windows 8 ou mais recentes pudessem estar protegidas do ESpecter graças ao recurso de inicialização segura. Não há informações suficientes sobre os métodos específicos usados para implantar o ESpecter em computadores. Os especialistas sugerem que os invasores podem ter acesso físico às máquinas das vítimas ou têm acesso a vulnerabilidades desconhecidas nos serviços UEFI.