BlackLotus erbjuds på underjordiska forum som ett kraftfullt firmware-rootkit som kan överleva alla borttagningsförsök och kringgå de mest avancerade Windows-skydden. Naturligtvis, om verkliga prover av skadlig programvara (skadlig programvara) kan bevisa att förslaget är verklighet.
Ett kraftfullt nytt UEFI-rootkit som enligt uppgift är till salu på underjordiska forum erbjuder avancerade attackfunktioner som tidigare bara var tillgängliga för underrättelsetjänster och statligt sponsrade hotgrupper. BlackLotus, som den okända leverantören kallade skadlig programvara, är ett rootkit för fast programvara som kan kringgå Windows-försvar för att köra skadlig kod på den lägsta nivån av x86-arkitekturens säkerhetsringar.
Enligt säkerhetsforskare som upptäckte BlackLotus-annonser på malware-forum kostar en rootkit-användarlicens upp till $5 200 och efterföljande kodåterställning kostar "bara" $5. Med tanke på de möjligheter som listas av säljaren är till och med att spendera XNUMX XNUMX USD mycket lukrativt för cyberbrottslingar och hackare runt om i världen.
Som säkerhetsforskaren Scott Schaferman fick reda på är BlackLotus skriven på Assembly och C-språk, väger 80 KB och är leverantörsoberoende. Rootkitet har skydd för virtuella maskiner, felsökning och kodobfuskering för att blockera eller omintetgöra analysförsök, tillhandahåller "agentskydd" på kärnnivå (ring 0) för att spara i UEFI-firmware, och kommer med en komplett installationsguide och FAQ.
Som alla andra riktiga rootkit laddas BlackLotus i de tidiga stadierna av uppstartsprocessen innan Windows startfasen. Skadlig programvara kan kringgå många Windows-skydd, inklusive Secure Boot, UAC, BitLocker, HVCI och Windows Defender, samtidigt som den erbjuder möjligheten att ladda ner osignerade drivrutiner. Andra avancerade funktioner hos skadlig programvara inkluderar ett fullfjädrat filöverföringsläge och en "sårbar signerad bootloader" som inte kan ogiltigförklaras utan att påverka hundratals starthanterare som fortfarande används idag.
Scott Schaeferman framhåller faran BlackLotus kan utgöra för modern firmware-baserad säkerhet, vilket gör en hotnivå som tidigare endast var tillgänglig för statligt sponsrade Advanced Persistent Threats (APTs) som Rysslands GRU eller Kinas APT 41 tillgänglig för vem som helst. Det nya UEFI rootkit kan vara ett riktigt steg framåt för cyberkriminella när det gäller användarvänlighet, skalbarhet, tillgänglighet, motståndskraft, undanflykt och destruktionspotential.
UEFI rootkits ansågs en gång vara mycket sällsynta och specialiserade hot, men många upptäckter under de senaste åren har visat ett helt annat scenario. När det gäller BlackLotus kommer säkerhetsgemenskapen att behöva analysera ett verkligt urval av skadlig programvara för att avgöra om de annonserade funktionerna är verkliga, om de är redo att spridas eller om det bara är en välgjord bluff.
Du kan hjälpa Ukraina att slåss mot de ryska inkräktarna. Det bästa sättet att göra detta är att donera medel till Ukrainas väpnade styrkor genom Rädda liv eller via den officiella sidan NBU.
Också intressant:
- MacPaws SpyBuster skyddar nu mot ryska cyberhot i webbläsaren
- Google: Ryska hackare skapade en falsk ukrainsk applikation