BlackLotus tilbys på underjordiske fora som et mektig fastvare-rootkit som er i stand til å overleve alle fjerningsforsøk og omgå de mest avanserte Windows-beskyttelsene. Selvfølgelig, hvis ekte prøver av skadelig programvare (skadelig programvare) kan bevise realiteten til forslaget.
Et kraftig nytt UEFI-rootkit som angivelig er til salgs på underjordiske fora, tilbyr avanserte angrepsfunksjoner som tidligere kun var tilgjengelig for etterretningsbyråer og statsstøttede trusselgrupper. BlackLotus, som den ukjente leverandøren kalte skadevaren, er et fastvare-rootkit som kan omgå Windows-forsvar for å kjøre ondsinnet kode på det laveste nivået av x86-arkitekturens sikkerhetsringer.
I følge sikkerhetsforskere som oppdaget BlackLotus-annonser på malware-fora, koster én rootkit-brukerlisens opptil $5 200, og påfølgende kodegjenoppretting koster "bare" $5. Gitt mulighetene oppført av selgeren, er til og med å bruke $XNUMXk veldig lukrativt for nettkriminelle og hackere over hele verden.
Som sikkerhetsforsker Scott Schaferman fant ut, er BlackLotus skrevet på Assembly og C-språk, veier 80 KB og er leverandøruavhengig. Rootsettet har virtuell maskinbeskyttelse, feilsøking og kodeobfuskering for å blokkere eller hindre analyseforsøk, gir "agentbeskyttelse" på kjernenivå (ring 0) for å lagre i UEFI-fastvare, og kommer med en fullverdig installasjonsveiledning og FAQ.
Som ethvert annet riktig rootkit, lastes BlackLotus inn i de tidlige stadiene av oppstartsprosessen før Windows oppstartsfasen. Skadevaren kan omgå mange Windows-beskyttelser, inkludert Secure Boot, UAC, BitLocker, HVCI og Windows Defender, samtidig som den tilbyr muligheten til å laste ned usignerte drivere. Andre avanserte funksjoner ved skadelig programvare inkluderer en fullverdig filoverføringsmodus og en "sårbar signert oppstartslaster" som ikke kan ugyldiggjøres uten å påvirke hundrevis av oppstartslastere som fortsatt er i bruk i dag.
Scott Schaeferman fremhever faren BlackLotus kan utgjøre for moderne fastvarebasert sikkerhet, og gjør et trusselnivå som tidligere kun var tilgjengelig for statsstøttede Advanced Persistent Threats (APTs) som Russlands GRU eller Kinas APT 41 tilgjengelig for alle. Det nye UEFI-rootsettet kan være et virkelig sprang fremover for nettkriminelle når det gjelder brukervennlighet, skalerbarhet, tilgjengelighet, motstandskraft, unndragelse og ødeleggelsespotensial.
UEFI rootkits ble en gang ansett som svært sjeldne og spesialiserte trusler, men mange funn de siste årene har vist et helt annet scenario. Når det gjelder BlackLotus, må sikkerhetsfellesskapet analysere et ekte utvalg av skadelig programvare for å finne ut om de annonserte funksjonene er ekte, om de er klare til å spre seg, eller om det bare er en godt utformet svindel.
Du kan hjelpe Ukraina med å kjempe mot de russiske inntrengerne. Den beste måten å gjøre dette på er å donere midler til Ukrainas væpnede styrker gjennom Redd livet eller via den offisielle siden NBU.
Også interessant:
- MacPaws SpyBuster beskytter nå mot russiske cybertrusler i nettleseren
- Google: Russiske hackere opprettet en falsk ukrainsk applikasjon