BlackLotus در انجمنهای زیرزمینی بهعنوان یک روتکیت فریمافزار قدرتمند ارائه میشود که قادر است از هرگونه تلاش حذف و دور زدن پیشرفتهترین محافظتهای ویندوز جان سالم به در ببرد. البته اگر نمونه های واقعی بدافزار (بدافزار) بتواند واقعیت گزاره را ثابت کند.
یک روت کیت جدید قدرتمند UEFI که گزارش شده برای فروش در انجمن های زیرزمینی، ویژگی های حمله پیشرفته ای را ارائه می دهد که قبلاً فقط در اختیار آژانس های اطلاعاتی و گروه های تهدید کننده دولتی بود. BlackLotus، همانطور که فروشنده ناشناس بدافزار نامیده است، یک روت کیت میانافزاری است که میتواند سیستمهای دفاعی ویندوز را دور بزند تا کدهای مخرب را در پایینترین سطح حلقههای امنیتی معماری x86 اجرا کند.
به گفته محققان امنیتی که تبلیغات BlackLotus را در انجمنهای بدافزار کشف کردند، یک مجوز کاربر rootkit تا 5 دلار هزینه دارد و بازیابی کد بعدی «فقط» 200 دلار هزینه دارد. با توجه به قابلیت های ذکر شده توسط فروشنده، حتی صرف 5 هزار دلار برای مجرمان سایبری و هکرها در سراسر جهان بسیار سودآور است.
همانطور که محقق امنیتی اسکات شافرمن متوجه شد، BlackLotus به زبان های اسمبلی و C نوشته شده است، وزن آن 80 کیلوبایت است و مستقل از فروشنده است. روت کیت دارای محافظت از ماشین مجازی، اشکال زدایی و مبهم سازی کد برای مسدود کردن یا خنثی کردن تلاش های تجزیه و تحلیل است، "محافظت عامل" در سطح هسته (حلقه 0) را برای ذخیره در سیستم عامل UEFI ارائه می دهد، و همراه با راهنمای نصب کامل و سوالات متداول ارائه می شود.
مانند هر روت کیت مناسب دیگری، BlackLotus در مراحل اولیه فرآیند بوت قبل از مرحله راه اندازی ویندوز بارگذاری می شود. این بدافزار میتواند بسیاری از حفاظتهای ویندوز، از جمله Secure Boot، UAC، BitLocker، HVCI و Windows Defender را دور بزند، در حالی که امکان دانلود درایورهای بدون امضا را ارائه میدهد. دیگر ویژگیهای پیشرفته این بدافزار شامل حالت انتقال فایل با امکانات کامل و «بوتلودر امضاشده آسیبپذیر» است که نمیتوان بدون تأثیرگذاری بر صدها بوتلودری که امروزه از آنها استفاده میشود، باطل شد.
اسکات شفرمن خطری را که BlackLotus میتواند برای امنیت مبتنی بر سیستمافزار مدرن ایجاد کند، برجسته میکند، و سطحی از تهدید را که قبلاً فقط برای تهدیدات پیشرفته پایدار (APT) تحت حمایت دولتی مانند GRU روسیه یا APT 41 چین در دسترس همه قرار میداد، در دسترس قرار میدهد. روت کیت جدید UEFI می تواند یک جهش واقعی برای مجرمان سایبری از نظر سهولت استفاده، مقیاس پذیری، در دسترس بودن، انعطاف پذیری، فرار و پتانسیل تخریب باشد.
روت کیت های UEFI زمانی تهدیدهای بسیار نادر و تخصصی به حساب می آمدند، اما بسیاری از اکتشافات در چند سال گذشته سناریوی بسیار متفاوتی را نشان داده اند. همانطور که در مورد BlackLotus، جامعه امنیتی باید یک نمونه واقعی از بدافزار را تجزیه و تحلیل کند تا مشخص کند که آیا ویژگیهای تبلیغ شده واقعی هستند، آیا آماده انتشار است یا این که فقط یک کلاهبرداری خوب ساخته شده است.
شما می توانید به اوکراین در مبارزه با مهاجمان روسی کمک کنید. بهترین راه برای انجام این کار، کمک مالی به نیروهای مسلح اوکراین است Savelife یا از طریق صفحه رسمی NBU.
همچنین جالب:
- MacPaw's SpyBuster اکنون در برابر تهدیدات سایبری روسیه در مرورگر محافظت می کند
- گوگل: هکرهای روسی یک اپلیکیشن جعلی اوکراینی ایجاد کردند