BlackLotus é oferecido em fóruns clandestinos como um rootkit de firmware todo-poderoso capaz de sobreviver a qualquer tentativa de remoção e ignorar as proteções mais avançadas do Windows. Claro, se amostras reais de malware (malware) puderem provar a realidade da proposição.
Um novo e poderoso rootkit UEFI supostamente à venda em fóruns clandestinos oferece recursos avançados de ataque anteriormente disponíveis apenas para agências de inteligência e grupos de ameaças patrocinados pelo estado. BlackLotus, como o fornecedor desconhecido nomeou o malware, é um rootkit de firmware que pode contornar as defesas do Windows para executar código malicioso no nível mais baixo dos anéis de segurança da arquitetura x86.
De acordo com pesquisadores de segurança que descobriram os anúncios do BlackLotus em fóruns de malware, uma licença de usuário de rootkit custa até US$ 5, e a recuperação de código subsequente custa "apenas" US$ 200. Dadas as capacidades listadas pelo vendedor, até mesmo gastar US$ 5 mil é muito lucrativo para cibercriminosos e hackers em todo o mundo.
Como descobriu o pesquisador de segurança Scott Schaferman, o BlackLotus é escrito nas linguagens Assembly e C, pesa 80 KB e é independente do fornecedor. O rootkit oferece proteção de máquina virtual, depuração e ofuscação de código para bloquear ou impedir tentativas de análise, fornece "proteção de agente" no nível do kernel (anel 0) para salvar no firmware UEFI e vem com um guia de instalação completo e perguntas frequentes.
Como qualquer outro rootkit adequado, o BlackLotus é carregado nos estágios iniciais do processo de inicialização antes da fase de inicialização do Windows. O malware pode ignorar muitas proteções do Windows, incluindo Secure Boot, UAC, BitLocker, HVCI e Windows Defender, oferecendo a capacidade de baixar drivers não assinados. Outros recursos avançados do malware incluem um modo de transferência de arquivos completo e um "bootloader assinado vulnerável" que não pode ser invalidado sem afetar centenas de bootloaders ainda em uso hoje.
Scott Schaeferman destaca o perigo que o BlackLotus pode representar para a segurança moderna baseada em firmware, tornando um nível de ameaça anteriormente disponível apenas para Ameaças Persistentes Avançadas (APTs) patrocinadas pelo estado, como o GRU da Rússia ou o APT 41 da China, disponíveis para qualquer pessoa. O novo rootkit UEFI pode ser um verdadeiro salto para os cibercriminosos em termos de facilidade de uso, escalabilidade, disponibilidade, resiliência, evasão e potencial de destruição.
Os rootkits UEFI já foram considerados ameaças muito raras e especializadas, mas muitas descobertas nos últimos anos mostraram um cenário muito diferente. Quanto ao BlackLotus, a comunidade de segurança precisará analisar uma amostra real do malware para determinar se os recursos anunciados são reais, se está pronto para se espalhar ou se é apenas um golpe bem elaborado.
Você pode ajudar a Ucrânia a lutar contra os invasores russos. A melhor maneira de fazer isso é doar fundos para as Forças Armadas da Ucrânia através Salva vida ou através da página oficial NBU.
Também interessante:
- O SpyBuster do MacPaw agora protege contra ameaças cibernéticas russas no navegador
- Google: hackers russos criaram um aplicativo ucraniano falso