UEFI-буткит ESPecter бэкдорит Windows с 2012 года

Татьяна Никитина 06 Октября 2021 - 08:49

...

Исследователи из ESET обнаружили новый, никем не описанный буткит для UEFI, который устанавливается в систему посредством компрометации диспетчера загрузки Windows. Как оказалось, зловред, получивший кодовое имя ESPecter, был создан как минимум в 2012 году и вначале был ориентирован на системы с BIOS.

Буткит позволяет установить контроль над процессом загрузки ОС и обеспечивает хакеру очень стойкое присутствие в системе. Тем не менее, злоумышленники редко применяют такие инструменты: их создание требует хорошей технической подготовки. До находки ESET специалистам по ИБ были известны только четыре случая использования буткита в атаках: Lojax, MosaicRegressor, безымянные модули TrickBot и FinSpy.

Вредонос ESPecter, по словам экспертов, был обнаружен на взломанной машине вместе с клиентским компонентом, обладающим функциями кейлоггера и инфостилера. По всей видимости, атака была проведена с целью шпионажа.

Исследование показало, что новый буткит может устанавливаться в систему двумя способами: посредством подмены главной загрузочной записи на диске (в Legacy-режиме) или через патчинг диспетчера загрузки Windows (bootmgfw.efi).

Версия ESPecter, внедряемая в системный раздел EFI, готовит рабочую среду для целевого зловреда, загружая собственный драйвер режима ядра, способный обойти обязательную проверку цифровой подписи. Этот драйвер, в свою очередь, загружает два компонента режима пользователя — WinSys.dll и Client.dll.

Первый отвечает за сбор информации о зараженной системе и обновление данных конфигурации. Второй работает как бэкдор; он умеет по команде фиксировать клавиатурный ввод, воровать документы, делать снимки экрана, а также автоматически выводить собранную информацию на свой сервер.

Модификация bootmgfw.efi, по свидетельству ESET, возможна только при отключенном режиме безопасной загрузки. Чтобы деактивировать Secure Boot, злоумышленник должен иметь физический доступ к компьютеру либо использовать какую-то уязвимость в прошивке UEFI.

Каким именно образом был внедрен найденный ESPecter, установить не удалось. Во избежание подобных атак эксперты советуют по возможности придерживаться следующих правил:

использовать только новейшую версию прошивки;
следить за настройками системы;
ужесточить контроль доступа к привилегированным аккаунтам;
не отключать режим Secure Boot.

Следующая главная новость »

Карьера в информационной безопасности. Что ждёт в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »

Екатерина Быстрова 14 Января 2026 - 10:22

Домашние пользователи

Метаданные WhatsApp показали: мы плохо понимаем, как ведём себя в чатах

Мы часто думаем, что отвечаем слишком медленно, слишком много пишем или, наоборот, теряемся в чатах. Но, как показало новое исследование учёных из Билефельдского университета, наше представление о собственном поведении в мессенджерах часто не совпадает с реальностью.

Впервые исследователи использовали анонимные метаданные WhatsApp (принадлежит Meta, признанной экстремистской и запрещенной в России) — без доступа к содержанию переписок — чтобы наглядно показать людям, как они на самом деле общаются. Результаты работы опубликованы в издании Computers in Human Behavior.

Команда под руководством Оли Хакобян и профессора Ханны Дрималлы разработала специальную платформу «пожертвования данных». Она анализирует не тексты сообщений, а такие параметры, как скорость ответа длина сообщений и доля участия в диалогах.

После этого участники получали персональные визуализации и могли сравнить свои ощущения с реальными цифрами.

«Одни уверены, что отвечают слишком медленно, другие думают, что пишут больше всех. Наши данные показывают: эти предположения часто ошибочны», — отмечает Хакобян.

До сих пор подобные исследования в основном опирались на опросы. Но, как выяснилось, самоотчёты сильно искажают картину. В ходе эксперимента многие участники заметно пересмотрели своё мнение о себе — например, осознали, что отвечают быстрее, чем считали, или занимают в диалоге не так много места, как думали.

Важно, что такой «разбор полётов» оказался психологически безопасным: настроение участников не ухудшалось, даже когда данные опровергали их прежние убеждения.

Ошибочные представления о своём стиле общения могут создавать напряжение в отношениях — например, если человек постоянно переживает, что «слишком долго молчит». Исследование показывает: объективная обратная связь помогает снять лишние тревоги и недопонимание.

Авторы подчёркивают, что речь идёт не только о WhatsApp. Такой подход может стать частью цифрового благополучия в целом — ведь понимание собственных привычек помогает выстраивать более осознанные и комфортные отношения в онлайн-общении.

Проще говоря, иногда полезно не гадать, а посмотреть на себя со стороны — пусть даже через сухие, но честные цифры.

Напомним, на днях энтузиасты нашли новый способ вернуть быстрый нативный WhatsApp в Windows.

Карьера в информационной безопасности. Что ждёт в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »