BlackLotus viene offerto sui forum sotterranei come un potentissimo rootkit del firmware in grado di sopravvivere a qualsiasi tentativo di rimozione e aggirare le più avanzate protezioni di Windows. Naturalmente, se campioni reali di malware (malware) possono dimostrare la realtà della proposta.
Secondo quanto riferito, un nuovo potente rootkit UEFI in vendita su forum clandestini offre funzionalità di attacco avanzate precedentemente disponibili solo per agenzie di intelligence e gruppi di minacce sponsorizzati dallo stato. BlackLotus, come il fornitore sconosciuto ha chiamato il malware, è un rootkit del firmware in grado di aggirare le difese di Windows per eseguire codice dannoso al livello più basso degli anelli di sicurezza dell'architettura x86.
Secondo i ricercatori di sicurezza che hanno scoperto gli annunci BlackLotus sui forum di malware, una licenza utente rootkit costa fino a $ 5 e il successivo ripristino del codice costa "solo" $ 200. Date le capacità elencate dal venditore, anche spendere $ 5k è molto redditizio per i criminali informatici e gli hacker di tutto il mondo.
Come ha scoperto il ricercatore di sicurezza Scott Schaferman, BlackLotus è scritto nei linguaggi Assembly e C, pesa 80 KB ed è indipendente dal fornitore. Il rootkit include protezione della macchina virtuale, debug e offuscamento del codice per bloccare o contrastare i tentativi di analisi, fornisce una "protezione dell'agente" a livello di kernel (anello 0) per salvare nel firmware UEFI e viene fornito con una guida all'installazione completa e domande frequenti.
Come qualsiasi altro rootkit corretto, BlackLotus viene caricato nelle prime fasi del processo di avvio prima della fase di avvio di Windows. Il malware può aggirare molte protezioni di Windows, tra cui Secure Boot, UAC, BitLocker, HVCI e Windows Defender, offrendo al contempo la possibilità di scaricare driver non firmati. Altre funzionalità avanzate del malware includono una modalità di trasferimento file completa e un "bootloader firmato vulnerabile" che non può essere invalidato senza influenzare centinaia di bootloader ancora in uso oggi.
Scott Schaeferman sottolinea il pericolo che BlackLotus potrebbe rappresentare per la moderna sicurezza basata su firmware, rendendo disponibile a chiunque un livello di minaccia precedentemente disponibile solo per le Advanced Persistent Threats (APT) sponsorizzate dallo stato, come il GRU russo o l'APT 41 cinese. Il nuovo rootkit UEFI potrebbe rappresentare un vero balzo in avanti per i criminali informatici in termini di facilità d'uso, scalabilità, disponibilità, resilienza, potenziale di evasione e distruzione.
I rootkit UEFI una volta erano considerati minacce molto rare e specializzate, ma molte scoperte negli ultimi anni hanno mostrato uno scenario molto diverso. Per quanto riguarda BlackLotus, la comunità della sicurezza dovrà analizzare un campione reale del malware per determinare se le funzionalità pubblicizzate sono reali, se è pronto per diffondersi o se si tratta solo di una truffa ben congegnata.
Puoi aiutare l'Ucraina a combattere contro gli invasori russi. Il modo migliore per farlo è donare fondi alle forze armate ucraine attraverso Salva Vita o tramite la pagina ufficiale NBU.
Interessante anche:
- SpyBuster di MacPaw ora protegge dalle minacce informatiche russe nel browser
- Google: hacker russi hanno creato una falsa applicazione ucraina