BlackLotus est proposé sur les forums clandestins comme un rootkit de firmware tout-puissant capable de survivre à toutes les tentatives de suppression et de contourner les protections Windows les plus avancées. Bien sûr, si de vrais échantillons de logiciels malveillants (malware) peuvent prouver la réalité de la proposition.
Un nouveau rootkit UEFI puissant qui serait en vente sur des forums clandestins offre des fonctionnalités d'attaque avancées qui n'étaient auparavant disponibles que pour les agences de renseignement et les groupes de menaces parrainés par l'État. BlackLotus, comme le fournisseur inconnu a nommé le logiciel malveillant, est un rootkit de micrologiciel qui peut contourner les défenses de Windows pour exécuter du code malveillant au niveau le plus bas des anneaux de sécurité de l'architecture x86.
Selon des chercheurs en sécurité qui ont découvert des publicités BlackLotus sur des forums de logiciels malveillants, une licence d'utilisateur de rootkit coûte jusqu'à 5 200 $, et la récupération de code ultérieure ne coûte « que » 5 $. Compte tenu des capacités répertoriées par le vendeur, même dépenser XNUMX XNUMX $ est très lucratif pour les cybercriminels et les pirates du monde entier.
Comme l'a découvert le chercheur en sécurité Scott Schaferman, BlackLotus est écrit en langages d'assemblage et C, pèse 80 Ko et est indépendant du fournisseur. Le rootkit comprend la protection de la machine virtuelle, le débogage et l'obscurcissement du code pour bloquer ou contrecarrer les tentatives d'analyse, fournit une "protection de l'agent" au niveau du noyau (anneau 0) à enregistrer dans le micrologiciel UEFI, et est livré avec un guide d'installation complet et une FAQ.
Comme tout autre rootkit approprié, BlackLotus est chargé dans les premières étapes du processus de démarrage avant la phase de démarrage de Windows. Le logiciel malveillant peut contourner de nombreuses protections Windows, notamment Secure Boot, UAC, BitLocker, HVCI et Windows Defender, tout en offrant la possibilité de télécharger des pilotes non signés. Les autres fonctionnalités avancées du logiciel malveillant incluent un mode de transfert de fichiers complet et un "chargeur de démarrage signé vulnérable" qui ne peut pas être invalidé sans affecter des centaines de chargeurs de démarrage encore utilisés aujourd'hui.
Scott Schaeferman souligne le danger que BlackLotus pourrait représenter pour la sécurité moderne basée sur les micrologiciels, rendant un niveau de menace auparavant uniquement disponible pour les menaces persistantes avancées (APT) parrainées par l'État telles que le GRU russe ou l'APT 41 chinois accessible à tous. Le nouveau rootkit UEFI pourrait constituer un véritable bond en avant pour les cybercriminels en termes de facilité d'utilisation, d'évolutivité, de disponibilité, de résilience, d'évasion et de potentiel de destruction.
Les rootkits UEFI étaient autrefois considérés comme des menaces très rares et spécialisées, mais de nombreuses découvertes au cours des dernières années ont montré un scénario très différent. Quant à BlackLotus, la communauté de la sécurité devra analyser un échantillon réel du logiciel malveillant pour déterminer si les fonctionnalités annoncées sont réelles, si elles sont prêtes à se propager ou s'il s'agit simplement d'une arnaque bien conçue.
Vous pouvez aider l'Ukraine à lutter contre les envahisseurs russes. La meilleure façon de le faire est de faire don de fonds aux forces armées ukrainiennes par le biais de Sauver la vie ou via la page officielle NBU.
Intéressant aussi :
- SpyBuster de MacPaw protège désormais contre les cybermenaces russes dans le navigateur
- Google : des hackers russes ont créé une fausse application ukrainienne