Les chasseurs de menaces d’ESET mettent en lumière un bootkit UEFI jusqu’alors non documenté, capable de pirater la partition système EFI (ESP) pour maintenir la persistance sur les machines Windows infectées.

La découverte d’ESET est le deuxième bootkit UEFI dans le monde réel à être documenté publiquement ces dernières semaines, suite au rapport de Kaspersky sur un nouveau chargeur de démarrage Windows UEFI intégré au produit de logiciel espion de surveillance FinSpy.

Selon les chercheurs d’ESET Anton Cherepanov et Martin Smolar, le malware a échappé à la détection pendant près d’une décennie et a été conçu pour contourner l’application de la signature du pilote Windows pour charger son propre pilote non signé.

« Nous avons retracé les racines de cette menace au moins en 2012, fonctionnant auparavant comme un bootkit pour les systèmes avec des BIOS hérités », a déclaré l’équipe de recherche, notant que la mise à niveau vers UEFI est passée inaperçue et sans document pendant de nombreuses années. « L’époque de l’UEFI (Unified Extensible Firmware Interface) vivant dans l’ombre du BIOS hérité est révolue pour de bon. »

ESET a nommé la menace « ESPecter » et a averti qu’elle est capable d’injecter du code pour configurer des connexions de serveur de commande et de contrôle.

[LIRE:[READ:Logiciel espion de surveillance FinSpy équipé du kit de démarrage UEFI ]

ESET, qui vend des logiciels anti-malware aux entreprises du monde entier, a déclaré que le bootkit avait été repéré sur une machine compromise avec un composant client en mode utilisateur avec des fonctionnalités d’enregistrement de frappe et de vol de documents.

À partir du rapport ESET :

En corrigeant le gestionnaire de démarrage Windows, les attaquants réalisent l’exécution dans les premières étapes du processus de démarrage du système, avant que le système d’exploitation ne soit complètement chargé. Cela permet à ESPecter de contourner Windows Driver Signature Enforcement (DSE) afin d’exécuter son propre pilote non signé au démarrage du système.

Ce pilote injecte ensuite d’autres composants en mode utilisateur dans des processus système spécifiques pour initier la communication avec le serveur C&C d’ESecter et pour permettre à l’attaquant de…