ESPecter je malware, který dokáže obejít ochranu Windows Driver Signature Enforcement. Také umí nahrát vlastní nepodepsaný ovladač, což usnadňuje jeho následné špionážní aktivity.
Malware ESPecter útočí přes UEFI, kde ho antivirové programy nedokáží detekovat
Experti z ESETu na ESPecter narazili na kompromitovaném počítači spolu s klientskou komponentou s funkcemi pro zachytávání stisknutých kláves a krádež dokumentů. Modifikací správce spouštění systému Windows dosáhnou útočníci aktivace v raných fázích procesu zavádění, tedy ještě před úplným načtením operačního systému. To umožňuje programu ESPecter obejít ochranu Windows Driver Signature Enforcement (DSE) a spustit svůj vlastní nepodepsaný ovladač.
Tento ovladač pak do konkrétních systémových procesů infikuje další komponenty, které zahájí komunikaci s řídícím serverem. Umožní tak útočníkovi převzít kontrolu nad napadeným počítačem. Útočník pak může vzdáleně stahovat a spouštět další malware nebo ovládat počítač pomocí příkazů.
Odborníci předpokládají, že malware ESPecter je dílem čínských programátorů. V tuto chvíli však nevědí, jakým způsobem byl rozšířen. Útočníci se původně zaměřili na starší systémy BIOS, potom se přesunuli na moderní technologii UEFI (Unified Extensible Firmware Interface), které hraje klíčovou roli při zabezpečení prostředí a během načítání operačního systému.
Jak má uživatel postupovat?
Pro maximální ochranu si nainstalujte nejnovější verzi firmwaru BIOSu a v jeho nastavení povolte funkci secure boot. Správa privilegovaných účtů by měla být nakonfigurována tak, aby zabránila protivníkům v přístupu k privilegovaným účtům potřebným pro instalaci bootkitu.