BlackLotus tarjotaan maanalaisilla foorumeilla kaikkivoimakkaana laiteohjelmiston rootkit-versiona, joka pystyy selviytymään kaikista poistoyrityksistä ja ohittamaan edistyneimmät Windows-suojaukset. Tietenkin, jos todelliset näytteet haittaohjelmista (haittaohjelmista) voivat todistaa ehdotuksen todellisuuden.
Tehokas uusi UEFI-rootkit, jonka kerrotaan myytävän maanalaisilla foorumeilla, tarjoaa edistyneitä hyökkäysominaisuuksia, jotka olivat aiemmin saatavilla vain tiedustelupalveluille ja valtion tukemille uhkaryhmille. BlackLotus, kuten tuntematon toimittaja nimesi haittaohjelman, on laiteohjelmiston rootkit, joka voi ohittaa Windowsin suojaukset ja suorittaa haitallista koodia x86-arkkitehtuurin suojarenkaiden alimmalla tasolla.
Tietoturvatutkijoiden mukaan, jotka löysivät BlackLotus-mainokset haittaohjelmafoorumeilta, yksi rootkit-käyttäjälisenssi maksaa jopa 5 200 dollaria ja myöhempi koodin palautus maksaa "vain" 5 dollaria. Kun otetaan huomioon myyjän ilmoittamat ominaisuudet, jopa XNUMX XNUMX dollarin kuluttaminen on erittäin tuottoisaa kyberrikollisille ja hakkereille ympäri maailmaa.
Kuten tietoturvatutkija Scott Schaferman havaitsi, BlackLotus on kirjoitettu Assembly- ja C-kielillä, painaa 80 kt ja on toimittajasta riippumaton. Rootkit sisältää virtuaalikoneen suojauksen, virheenkorjauksen ja koodin hämärtymisen analyysiyritysten estämiseksi tai estämiseksi, tarjoaa ydintason "agenttisuojauksen" (rengas 0), joka tallennetaan UEFI-laiteohjelmistoon, ja mukana tulee monipuolinen asennusopas ja FAQ.
Kuten mikä tahansa oikea rootkit, BlackLotus ladataan käynnistysprosessin alkuvaiheessa ennen Windowsin käynnistysvaihetta. Haittaohjelma voi ohittaa monet Windows-suojaukset, mukaan lukien Secure Boot, UAC, BitLocker, HVCI ja Windows Defender, samalla kun ne tarjoavat mahdollisuuden ladata allekirjoittamattomia ohjaimia. Muita haittaohjelman edistyneitä ominaisuuksia ovat täysin varusteltu tiedostonsiirtotila ja "haavoittuva allekirjoitettu käynnistyslatain", jota ei voida mitätöidä vaikuttamatta satoihin edelleen käytössä oleviin käynnistyslataimiin.
Scott Schaeferman korostaa vaaraa, jonka BlackLotus voi aiheuttaa nykyaikaiselle laiteohjelmistopohjaiselle tietoturvalle, jolloin uhkataso oli aiemmin vain valtion tukemien Advanced Persistent Threat (APT), kuten Venäjän GRU:n tai Kiinan APT 41:n, saatavilla kaikille. Uusi UEFI-rootkit voisi olla todellinen harppaus kyberrikollisille käytön helppouden, skaalautuvuuden, saatavuuden, sietokyvyn, kiertokulujen ja tuhoamismahdollisuuksien suhteen.
UEFI-rootkittejä pidettiin aikoinaan erittäin harvinaisina ja erikoistuneina uhkina, mutta monet viime vuosien löydöt ovat osoittaneet hyvin erilaisen skenaarion. Mitä tulee BlackLotukseen, tietoturvayhteisön on analysoitava todellisen maailman näyte haittaohjelmista määrittääkseen, ovatko mainostetut ominaisuudet todellisia, ovatko ne valmiita leviämään vai onko kyseessä vain hyvin suunniteltu huijaus.
Voit auttaa Ukrainaa taistelemaan venäläisiä hyökkääjiä vastaan. Paras tapa tehdä tämä on lahjoittaa varoja Ukrainan asevoimille Pelasta elämä tai virallisen sivun kautta NBU.
Mielenkiintoista myös:
- MacPawin SpyBuster suojaa nyt venäläisiltä kyberuhkilta selaimessa
- Google: Venäläiset hakkerit loivat väärennetyn ukrainalaisen sovelluksen