BlackLotus wird in Untergrundforen als allmächtiges Firmware-Rootkit angeboten, das alle Entfernungsversuche überstehen und die fortschrittlichsten Windows-Schutzmaßnahmen umgehen kann. Natürlich, wenn echte Muster von Malware (Malware) die Realität der Behauptung beweisen können.
Ein leistungsstarkes neues UEFI-Rootkit, das Berichten zufolge in Untergrundforen zum Verkauf angeboten wird, bietet erweiterte Angriffsfunktionen, die zuvor nur Geheimdiensten und staatlich geförderten Bedrohungsgruppen zur Verfügung standen. BlackLotus, wie der unbekannte Anbieter die Malware nannte, ist ein Firmware-Rootkit, das die Windows-Abwehr umgehen kann, um bösartigen Code auf der untersten Ebene der Sicherheitsringe der x86-Architektur auszuführen.
Laut Sicherheitsforschern, die BlackLotus-Anzeigen in Malware-Foren entdeckten, kostet eine Rootkit-Benutzerlizenz bis zu 5 US-Dollar, und die anschließende Code-Wiederherstellung kostet „nur“ 200 US-Dollar. Angesichts der vom Verkäufer aufgeführten Fähigkeiten ist sogar die Ausgabe von 5 US-Dollar für Cyberkriminelle und Hacker auf der ganzen Welt sehr lukrativ.
Wie der Sicherheitsforscher Scott Schaferman herausfand, ist BlackLotus in den Sprachen Assembler und C geschrieben, wiegt 80 KB und ist herstellerunabhängig. Das Rootkit bietet Schutz für virtuelle Maschinen, Debugging und Code-Verschleierung, um Analyseversuche zu blockieren oder zu vereiteln, bietet „Agentenschutz“ auf Kernel-Ebene (Ring 0) zum Speichern in UEFI-Firmware und wird mit einer voll funktionsfähigen Installationsanleitung und häufig gestellten Fragen geliefert.
Wie jedes andere richtige Rootkit wird BlackLotus in den frühen Stadien des Boot-Vorgangs vor der Startphase von Windows geladen. Die Malware kann viele Windows-Schutzmaßnahmen umgehen, darunter Secure Boot, UAC, BitLocker, HVCI und Windows Defender, und bietet gleichzeitig die Möglichkeit, unsignierte Treiber herunterzuladen. Zu den weiteren fortschrittlichen Funktionen der Malware gehören ein voll funktionsfähiger Dateiübertragungsmodus und ein „verwundbarer signierter Bootloader“, der nicht ungültig gemacht werden kann, ohne Hunderte von heute noch verwendeten Bootloadern zu beeinträchtigen.
Scott Schaeferman hebt die Gefahr hervor, die BlackLotus für moderne Firmware-basierte Sicherheit darstellen könnte, und macht ein Bedrohungsniveau, das zuvor nur für staatlich geförderte Advanced Persistent Threats (APTs) wie Russlands GRU oder Chinas APT 41 verfügbar war, für jedermann zugänglich. Das neue UEFI-Rootkit könnte für Cyberkriminelle in Bezug auf Benutzerfreundlichkeit, Skalierbarkeit, Verfügbarkeit, Widerstandsfähigkeit, Umgehungs- und Zerstörungspotenzial ein echter Sprung nach vorne sein.
UEFI-Rootkits galten einst als sehr seltene und spezialisierte Bedrohungen, aber viele Entdeckungen in den letzten Jahren haben ein ganz anderes Szenario gezeigt. Was BlackLotus betrifft, so muss die Sicherheits-Community eine reale Probe der Malware analysieren, um festzustellen, ob die beworbenen Funktionen echt sind, ob sie zur Verbreitung bereit sind oder ob es sich nur um einen gut ausgearbeiteten Betrug handelt.
Sie können der Ukraine helfen, gegen die russischen Invasoren zu kämpfen. Der beste Weg, dies zu tun, besteht darin, Gelder an die Streitkräfte der Ukraine zu spenden Das Leben retten oder über die offizielle Seite NBU.
Auch interessant:
- SpyBuster von MacPaw schützt jetzt im Browser vor russischen Cyber-Bedrohungen
- Google: Russische Hacker haben eine gefälschte ukrainische Anwendung erstellt