Investigadores de ciberseguridad revelaron el martes los detalles de un bootkit UEFI (Unified Extensible Firmware Interface) no documentado previamente que ha sido puesto en uso por actores de amenazas para backdoor de sistemas Windows desde 2012 modificando un binario legítimo de Windows Boot Manager para lograr la persistencia, demostrando una vez más cómo la tecnología destinada a asegurar el entorno antes de cargar el sistema operativo se está convirtiendo cada vez más en un «objetivo tentador.»
La empresa eslovaca de ciberseguridad ESET dio al nuevo malware el nombre en clave de «ESPecter» por su capacidad de persistir en la partición del sistema EFI (ESP), además de eludir la aplicación de firmas de controladores de Microsoft Windows para cargar su propio controlador no firmado que puede utilizarse para facilitar actividades de espionaje como el robo de documentos, el registro de teclas y la monitorización de pantallas mediante la captura periódica de las mismas. La ruta de intrusión del malware sigue siendo desconocida hasta el momento.
«ESPecter demuestra que los actores de las amenazas no sólo confían en los implantes de firmware UEFI cuando se trata de la persistencia del pre-OS y, a pesar de los mecanismos de seguridad existentes como UEFI Secure Boot, invierten su tiempo en la creación de malware que sería fácilmente bloqueado por dichos mecanismos, si se activan y configuran correctamente», dijeron los investigadores de ESET Martin Smolár y Anton Cherepanov en un escrito técnico publicado el martes.
Las raíces de ESPecter se remontan al menos a 2012, y se originó como un bootkit para sistemas con BIOS heredadas, con sus autores añadiendo continuamente soporte para nuevas versiones del sistema operativo Windows, mientras que apenas realizaban cambios en los módulos del malware. El mayor cambio llegó en 2020, cuando «los que están detrás de ESPecter aparentemente decidieron trasladar su malware de los sistemas BIOS heredados a los modernos sistemas UEFI.»
El desarrollo marca la cuarta vez que se descubren casos de malware UEFI en el mundo real hasta ahora, después de LoJax, MosaicRegressor y, más recientemente, FinFisher, el último de los cuales se encontró aprovechando el mismo método de compromiso para persistir en el ESP en forma de un Administrador de arranque de Windows parcheado.

«Al parchear el gestor de arranque de Windows, los atacantes logran la ejecución en las primeras etapas del proceso de arranque del sistema, antes de que el sistema operativo se cargue completamente», dijeron los investigadores. «Esto permite a ESPecter eludir la aplicación de la firma de los controladores de Windows (DSE) para ejecutar su propio controlador no firmado en el arranque del sistema».
Sin embargo, en los sistemas que admiten el modo de arranque Legacy BIOS, ESPecter consigue persistir alterando el código del registro de arranque maestro (MBR) situado en el primer sector físico de la unidad de disco para interferir en la carga del gestor de arranque y cargar el controlador del kernel malicioso, que está diseñado para cargar cargas útiles adicionales en modo usuario y configurar el keylogger, antes de borrar sus propios rastros de la máquina.
Independientemente de la variante de MBR o UEFI utilizada, el despliegue del controlador conduce a la inyección de componentes de modo de usuario de la siguiente etapa en procesos específicos del sistema para establecer comunicaciones con un servidor remoto, lo que permite a un atacante comandar la máquina comprometida y tomar el control, por no hablar de descargar y ejecutar más malware o comandos obtenidos del servidor.
ESET no atribuyó el bootkit a un estado-nación o grupo de hackers en particular, pero el uso de mensajes de depuración chinos en la carga útil del cliente en modo usuario ha planteado la posibilidad de que sea obra de un actor de amenazas desconocido de habla china.
«Aunque Secure Boot impide la ejecución de binarios UEFI no fiables desde el ESP, en los últimos años hemos sido testigos de varias vulnerabilidades de firmware UEFI que afectan a miles de dispositivos y que permiten desactivar o eludir Secure Boot», señalaron los investigadores. «Esto demuestra que asegurar el firmware UEFI es una tarea difícil y que la forma en que los distintos proveedores aplican las políticas de seguridad y utilizan los servicios UEFI no siempre es la ideal».