Bootkit berbahaya baru, yang oleh para peneliti di ESET dinamai ESPecter, ditempatkan di bagian EFI System Partition (ESP) dari teknologi yang disematkan. ESP berisi boot loader atau image kernel yang digunakan UEFI untuk memulai OS yang diinstal dan berbagai utilitas pada saat proses boot.
“Penyerang [dengan demikian] mencapai eksekusi pada tahap awal proses boot sistem, sebelum sistem operasi dimuat penuh,” menurut analisis ESPecter ESET, yang dikeluarkan Selasa (5/10/2021). “Ini memungkinkan ESPecter untuk mem-bypass Windows Driver Signature Enforcement (DSE) untuk menjalankan drivernya sendiri yang tidak ditandatangani saat startup sistem.”
Driver tersebut kemudian menyuntikkan komponen user-mode lainnya ke dalam proses sistem tertentu, catat para peneliti; dan yang pada gilirannya digunakan untuk terhubung dengan server command-and-control (C2). Setelah koneksi dibuat, penyerang dapat mulai mengunduh dan menjalankan malware tambahan atau menjalankan berbagai perintah untuk mengambil kendali penuh atas mesin.
Menurut ESET, tujuan utama driver adalah memuat dua user-mode payload yang berbeda (WinSys.dll dan Client.dll) dan untuk mengatur keylogger yang merekam semua aktivitas keyboard. Setelah itu, itu menghapus dirinya sendiri.
Payload WinSys.dll secara berkala melakukan ping ke server C2 (menemukan alamatnya di file konfigurasi malware) untuk mengunduh malware tambahan atau menjalankan perintah sederhana. C2 dapat memintanya untuk mengunggah informasi sistem (nama CPU, versi OS, ukuran memori, alamat MAC ethernet, daftar perangkat lunak yang diinstal, dan sebagainya), mengambil dan menjalankan file baru, memulai ulang PC, atau mengunduh konfigurasi baru.
Selengkapnya: Threat Post
