Ang BlackLotus ay inaalok sa mga underground na forum bilang isang napakahusay na firmware rootkit na may kakayahang makaligtas sa anumang mga pagtatangka sa pag-alis at lampasan ang pinaka-advanced na mga proteksyon ng Windows. Siyempre, kung ang mga tunay na sample ng malware (malware) ay mapapatunayan ang katotohanan ng panukala.
Ang isang malakas na bagong rootkit ng UEFI na iniulat na ibinebenta sa mga underground na forum ay nag-aalok ng mga advanced na feature ng pag-atake na dati ay magagamit lamang sa mga ahensya ng paniktik at mga grupo ng pagbabanta na inisponsor ng estado. Ang BlackLotus, bilang hindi kilalang vendor na pinangalanan ang malware, ay isang firmware rootkit na maaaring lampasan ang mga depensa ng Windows upang magpatakbo ng malisyosong code sa pinakamababang antas ng mga security ring ng x86 architecture.
Ayon sa mga security researcher na nakatuklas ng mga BlackLotus ad sa mga malware forum, ang isang rootkit user license ay nagkakahalaga ng hanggang $5, at ang kasunod na code recovery ay nagkakahalaga ng "lamang" $200. Dahil sa mga kakayahan na nakalista ng nagbebenta, kahit na ang paggastos ng $5k ay lubhang kumikita para sa mga cybercriminal at hacker sa buong mundo.
Gaya ng nalaman ng security researcher na si Scott Schaferman, ang BlackLotus ay nakasulat sa Assembly at C na mga wika, tumitimbang ng 80 KB at independiyenteng vendor. Nagtatampok ang rootkit ng virtual machine protection, pag-debug, at code obfuscation para harangan o hadlangan ang mga pagtatangka sa pagsusuri, nagbibigay ng kernel-level na "agent protection" (ring 0) para i-save sa UEFI firmware, at may kasamang kumpletong gabay sa pag-install at FAQ.
Tulad ng anumang iba pang wastong rootkit, ang BlackLotus ay na-load sa mga unang yugto ng proseso ng boot bago ang yugto ng pagsisimula ng Windows. Maaaring lampasan ng malware ang maraming proteksyon sa Windows, kabilang ang Secure Boot, UAC, BitLocker, HVCI, at Windows Defender, habang nag-aalok ng kakayahang mag-download ng mga hindi naka-sign na driver. Kasama sa iba pang advanced na feature ng malware ang isang full-feature na file transfer mode at isang "vulnerable signed bootloader" na hindi mapapawalang-bisa nang hindi naaapektuhan ang daan-daang bootloader na ginagamit pa rin ngayon.
Itinatampok ni Scott Schaeferman ang panganib na maaaring idulot ng BlackLotus sa modernong seguridad na nakabatay sa firmware, na ginagawang available lang ang isang antas ng pagbabanta sa mga Advanced Persistent Threats (APT) na itinataguyod ng estado gaya ng GRU ng Russia o APT 41 ng China na available sa sinuman. Ang bagong UEFI rootkit ay maaaring maging isang tunay na hakbang para sa mga cybercriminal sa mga tuntunin ng kadalian ng paggamit, scalability, availability, katatagan, pag-iwas at potensyal na pagkasira.
Ang mga rootkit ng UEFI ay dating itinuturing na napakabihirang at espesyal na banta, ngunit maraming mga pagtuklas sa nakalipas na ilang taon ang nagpakita ng ibang senaryo. Tulad ng para sa BlackLotus, kakailanganin ng komunidad ng seguridad na pag-aralan ang isang sample ng malware sa totoong mundo upang matukoy kung totoo ang mga na-advertise na feature, kung handa na itong kumalat, o kung isa lang itong mahusay na ginawang scam.
Matutulungan mo ang Ukraine na labanan ang mga mananakop na Ruso. Ang pinakamahusay na paraan upang gawin ito ay ang mag-abuloy ng mga pondo sa Armed Forces of Ukraine sa pamamagitan ng Savelife o sa pamamagitan ng opisyal na pahina NBU.
Kawili-wili din:
- Pinoprotektahan na ngayon ng SpyBuster ng MacPaw laban sa mga banta sa cyber ng Russia sa browser
- Google: Ang mga hacker ng Russia ay lumikha ng isang pekeng application na Ukrainian