ESPecter
Fiche d'évaluation menace
Tableau de bord des menaces EnigmaSoft
EnigmaSoft Threat Scorecards sont des rapports d'évaluation de différentes menaces de logiciels malveillants qui ont été collectés et analysés par notre équipe de recherche. Les tableaux de bord des menaces EnigmaSoft évaluent et classent les menaces à l'aide de plusieurs mesures, notamment les facteurs de risque réels et potentiels, les tendances, la fréquence, la prévalence et la persistance. Les cartes de pointage EnigmaSoft Threat sont mises à jour régulièrement sur la base de nos données et mesures de recherche et sont utiles pour un large éventail d'utilisateurs d'ordinateurs, des utilisateurs finaux à la recherche de solutions pour supprimer les logiciels malveillants de leurs systèmes aux experts en sécurité analysant les menaces.
Les tableaux de bord des menaces d'EnigmaSoft affichent une variété d'informations utiles, notamment :
Popularity Rank: The ranking of a particular threat in EnigmaSoft’s Threat Database.
Niveau de gravité : le niveau de gravité déterminé d'un objet, représenté numériquement, sur la base de notre processus de modélisation des risques et de nos recherches, comme expliqué dans nos critères d'évaluation des menaces .
Ordinateurs infectés : le nombre de cas confirmés et suspects d'une menace particulière détectée sur des ordinateurs infectés, tel que rapporté par SpyHunter.
Voir aussi Critères d'évaluation des menaces .
| Niveau de menace: | 100 % (Haute) |
| Ordinateurs infectés : | 1 |
| Vu la première fois: | October 8, 2021 |
| Vu pour la dernière fois : | October 8, 2021 |
| Systèmes d'exploitation concernés: | Windows |
Une menace de malware qui a potentiellement pu échapper à la détection pendant près d'une décennie a finalement été détectée par les chercheurs d'infosec. Découverte par des experts en cybersécurité, la menace nommée ESPecter est un bootkit conçu pour charger des pilotes non signés sur le lecteur ESP (EFI System Partition) des systèmes infectés.
Les chercheurs ont retracé les origines de la menace à au moins 2012. Au cours de cette période significative, le changement le plus radical subi par le malware est le passage du ciblage du BIOS hérité et du Master Boot Record à leur successeur UEFI. L'interface de micrologiciel extensible unifiée ou UEFI est un composant crucial qui connecte le micrologiciel de la machine au système d'exploitation.
Jusqu'à présent, ESPecter n'a été attribué à aucun acteur de menace spécifique, en raison du manque de preuves suffisantes. Certains signes trouvés dans les composants de la menace, tels que ses messages de débogage, suggèrent que ses créateurs sont des individus de langue chinoise. La méthode de distribution utilisée dans la livraison d'ESecter est également inconnue pour le moment. L'acteur de la menace peut utiliser une vulnérabilité UEFI zero-day, un bogue connu mais toujours non corrigé, ou peut avoir un accès physique aux machines ciblées.
Détails techniques
ESPecter se place dans l'ESP et établit sa persistance via un patch appliqué au gestionnaire de démarrage Windows. De plus, le correctif permet à ESPecter de contourner complètement les protocoles Windows Driver Signature Enforcement (DSE) et de charger ses propres pilotes non signés sur la machine compromise. La menace peut également injecter des composants dangereux supplémentaires pour établir une connexion au serveur Command-and-Control (C2, C&C) de l'attaquant.
Les chercheurs ont découvert des modules de keylogging et de vol de fichiers sur les systèmes infectés par ESPecter, indiquant que l'objectif principal de l'acteur de la menace pourrait être le cyber-espionnage et la surveillance des cibles choisies. En effet, ESPecter est également équipé de la fonctionnalité permettant de prendre des captures d'écran arbitraires et de les stocker dans un répertoire caché, à côté des journaux de clés et des documents collectés.
Cependant, pour exécuter ses activités menaçantes, ESPecter a besoin que la fonction Secure Boot sur le système soit désactivée. Secure Boot a été introduit pour la première fois en tant que fonctionnalité Windows avec la sortie de Windows 8, de sorte que toutes les versions antérieures du système d'exploitation deviennent automatiquement sensibles à une attaque ESPecter. Cependant, l'utilisation d'une version plus récente de Windows ne suffit pas. De nombreuses vulnérabilités du micrologiciel UEFI sont apparues au cours des deux dernières années, permettant aux attaquants de désactiver ou de contourner carrément le démarrage sécurisé.
