BlackLotus este oferit pe forumurile subterane ca un rootkit de firmware atotputernic capabil să supraviețuiască oricăror încercări de eliminare și să ocolească cele mai avansate protecții Windows. Desigur, dacă mostre reale de malware (malware) pot dovedi realitatea propunerii.
Un nou rootkit UEFI puternic, care ar fi vândut pe forumuri subterane, oferă funcții avansate de atac, disponibile anterior doar agențiilor de informații și grupurilor de amenințări sponsorizate de stat. BlackLotus, așa cum a numit malware-ul furnizorul necunoscut, este un rootkit de firmware care poate ocoli apărarea Windows pentru a rula cod rău intenționat la cel mai scăzut nivel al inelelor de securitate ale arhitecturii x86.
Potrivit cercetătorilor de securitate care au descoperit reclame BlackLotus pe forumurile de malware, o licență de utilizator rootkit costă până la 5 USD, iar recuperarea ulterioară a codului costă „doar” 200 USD. Având în vedere capabilitățile enumerate de vânzător, chiar și a cheltui 5 USD este foarte profitabilă pentru infractorii cibernetici și hackerii din întreaga lume.
După cum a descoperit cercetătorul de securitate Scott Schaferman, BlackLotus este scris în limbaje Assembly și C, cântărește 80 KB și este independent de furnizor. Rootkit-ul dispune de protecție a mașinii virtuale, depanare și ofuscarea codului pentru a bloca sau a contracara încercările de analiză, oferă „protecție agent” la nivel de kernel (ring 0) pentru a salva în firmware-ul UEFI și vine cu un ghid de instalare complet și Întrebări frecvente.
Ca orice alt rootkit adecvat, BlackLotus este încărcat în primele etape ale procesului de pornire înainte de faza de pornire a Windows. Malware-ul poate ocoli multe protecții Windows, inclusiv Secure Boot, UAC, BitLocker, HVCI și Windows Defender, oferind în același timp posibilitatea de a descărca drivere nesemnate. Alte caracteristici avansate ale malware-ului includ un mod complet de transfer de fișiere și un „bootloader vulnerabil semnat” care nu poate fi invalidat fără a afecta sute de bootloadere încă utilizate în prezent.
Scott Schaeferman subliniază pericolul pe care BlackLotus îl poate reprezenta pentru securitatea modernă bazată pe firmware, făcând un nivel de amenințare disponibil anterior doar pentru Amenințările Persistente Avansate (APT) sponsorizate de stat, cum ar fi GRU din Rusia sau APT 41 din China, disponibil pentru oricine. Noul rootkit UEFI ar putea fi un adevărat salt înainte pentru infractorii cibernetici în ceea ce privește ușurința în utilizare, scalabilitatea, disponibilitatea, rezistența, evaziunea și potențialul de distrugere.
Rootkit-urile UEFI au fost odată considerate amenințări foarte rare și specializate, dar multe descoperiri din ultimii ani au arătat un scenariu foarte diferit. În ceea ce privește BlackLotus, comunitatea de securitate va trebui să analizeze un eșantion din lumea reală a malware-ului pentru a determina dacă caracteristicile promovate sunt reale, dacă este gata să se răspândească sau dacă este doar o înșelătorie bine concepută.
Poți ajuta Ucraina să lupte împotriva invadatorilor ruși. Cel mai bun mod de a face acest lucru este să donați fonduri Forțelor Armate ale Ucrainei prin intermediul Salveaza viata sau prin pagina oficiala NBU.
Interesant de asemenea:
- SpyBuster de la MacPaw protejează acum împotriva amenințărilor cibernetice rusești în browser
- Google: Hackerii ruși au creat o aplicație ucraineană falsă