UEFI-буткит ESPecter бэкдорит Windows с 2012 года

Татьяна Никитина 06 Октября 2021 - 08:49

...

Исследователи из ESET обнаружили новый, никем не описанный буткит для UEFI, который устанавливается в систему посредством компрометации диспетчера загрузки Windows. Как оказалось, зловред, получивший кодовое имя ESPecter, был создан как минимум в 2012 году и вначале был ориентирован на системы с BIOS.

Буткит позволяет установить контроль над процессом загрузки ОС и обеспечивает хакеру очень стойкое присутствие в системе. Тем не менее, злоумышленники редко применяют такие инструменты: их создание требует хорошей технической подготовки. До находки ESET специалистам по ИБ были известны только четыре случая использования буткита в атаках: Lojax, MosaicRegressor, безымянные модули TrickBot и FinSpy.

Вредонос ESPecter, по словам экспертов, был обнаружен на взломанной машине вместе с клиентским компонентом, обладающим функциями кейлоггера и инфостилера. По всей видимости, атака была проведена с целью шпионажа.

Исследование показало, что новый буткит может устанавливаться в систему двумя способами: посредством подмены главной загрузочной записи на диске (в Legacy-режиме) или через патчинг диспетчера загрузки Windows (bootmgfw.efi).

Версия ESPecter, внедряемая в системный раздел EFI, готовит рабочую среду для целевого зловреда, загружая собственный драйвер режима ядра, способный обойти обязательную проверку цифровой подписи. Этот драйвер, в свою очередь, загружает два компонента режима пользователя — WinSys.dll и Client.dll.

Первый отвечает за сбор информации о зараженной системе и обновление данных конфигурации. Второй работает как бэкдор; он умеет по команде фиксировать клавиатурный ввод, воровать документы, делать снимки экрана, а также автоматически выводить собранную информацию на свой сервер.

Модификация bootmgfw.efi, по свидетельству ESET, возможна только при отключенном режиме безопасной загрузки. Чтобы деактивировать Secure Boot, злоумышленник должен иметь физический доступ к компьютеру либо использовать какую-то уязвимость в прошивке UEFI.

Каким именно образом был внедрен найденный ESPecter, установить не удалось. Во избежание подобных атак эксперты советуют по возможности придерживаться следующих правил:

использовать только новейшую версию прошивки;
следить за настройками системы;
ужесточить контроль доступа к привилегированным аккаунтам;
не отключать режим Secure Boot.

Следующая главная новость »

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »

Татьяна Никитина 11 Февраля 2026 - 21:02

Фишинг Мошенничество Онлайн-мошенничество Домашние пользователи Лаборатория Касперского

Мошенники угоняют аккаунты Telegram с помощью встроенных приложений

Специалисты «Лаборатории Касперского» выявили новую схему массового угона телеграм-аккаунтов. Авторы атак используют встроенные в мессенджер вредоносные приложения, собирающие коды аутентификации на вход с нового устройства.

Мошеннические сообщения-приманки, как правило, распространяются в многолюдных группах. Получателей извещают о переносе чата из-за потери доступа к админ-аккаунту.

Ложное уведомление содержит ссылку «Перейти в новосозданный чат». При ее активации открывается окно встроенной телеграм-проги с полем для ввода пятизначного кода.

Если пользователь выполнит это действие, в его аккаунт будет добавлено устройство злоумышленников, и они смогут продолжить провокационные рассылки — уже от имени жертвы.

Эксперты не преминули отметить, что обманом полученный доступ к учетной записи Telegram будет вначале ограниченным: мошенники сразу не смогут изучить всю переписку жертвы и заблокировать его устройства. Эти возможности появятся позже, как и блокировка законного владельца аккаунта.

Характерной особенностью данной схемы является иллюзия легитимности: фишинговые ресурсы не используются, мошенническая ссылка привязана к Telegram и ведет в приложение в этом мессенджере. Известие о пересоздании чата тоже вряд ли вызовет подозрения из-за участившихся взломов.

По данным Kaspersky, вредоносные приложения, нацеленные на сбор кодов верификации, объявились в Telegram в конце прошлой недели. Если жертва будет действовать быстро, она сможет вернуть контроль над учётной записью через настройки мессенджера (=> «Конфиденциальность» => «Активные сессии» => «Завершить все другие сеансы»).

«Аккаунты в популярных мессенджерах остаются лакомым куском для злоумышленников, — комментирует Сергей Голованов, главный эксперт ИБ-компании. — Мы напоминаем о необходимости быть крайне внимательными, не переходить по подозрительным ссылкам и ни при каких условиях нигде не вводить код аутентификации, полученный от Telegram, а также устанавливать на все используемые устройства надёжные защитные решения».

Отметим, похожую схему угона телеграм-аккаунтов, тоже с использованием легитимной функциональности мессенджера и социальной инженерии, недавно обнародовала CYFIRMA. Выявленный метод тоже не предполагает взлома, обхода шифрования либо эксплойта уязвимостей; умело спровоцированный юзер сам выдает разрешение на доступ к его учетной записи.

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »