Programari maliciós BlackLotus
S'ha confirmat que una amenaça de programari maliciós que els investigadors de ciberseguretat estan descrivint com a "gairebé indetectable" s'ofereix a la venda als fòrums de pirates informàtics. Rastrejat com a BlackLotus, el programari maliciós pot infectar els nivells més fonamentals d'un ordinador i esdevenir extremadament difícil d'eliminar. De fet, les seves capacitats el posen a l'alçada de les eines amenaçadores observades com a part de l'arsenal de grups de pirateria i APT (Advanced Persistent Threats) patrocinats per l'estat. Pel que sembla, els ciberdelinqüents interessats podrien obtenir una llicència dels creadors de l'amenaça per 5.000 dòlars.
Infecció a l'estat d'arrencada més baix
BlackLotus es descriu com un kit d'arrencada UEFI (Unified Extensible Firmware Interface). UEFI és una especificació àmpliament utilitzada que descriu programari dedicat a facilitar la comunicació entre el sistema operatiu (sistema operatiu) i el microprogramari. Al seu torn, el firmware és el programari que proporciona un control de baix nivell dels components de maquinari del sistema. UEFI va substituir el firmware d'arrencada de la BIOS (sistema bàsic d'entrada/sortida) heretat. En resum, UEFI és una de les primeres coses que s'inicien quan s'encén un ordinador i precedeix l'arrencada del nucli i del sistema operatiu. Segons el venedor, les característiques amenaçadores del programari maliciós BlackLotus inclouen el bypass de l'arrencada segura, la protecció RingO/Kernel contra l'eliminació i la possibilitat d'iniciar-se en mode segur.
Funcions encara més amenaçadores
Tanmateix, pel que sembla, BlackLotus també està equipat amb funcions anti-VM, anti-depuració i ofuscació de codi per evitar possibles intents d'anàlisi. El desenvolupador de l'amenaça afirma que BlackLotus és totalment indetectable per les solucions de seguretat anti-malware perquè s'està executant ocult dins d'un procés legítim sota el compte SISTEMA del dispositiu violat. Els atacants també podrien utilitzar l'amenaça per desactivar diverses proteccions de seguretat integrades amb Windows, com ara HVCI (Integritat del codi protegit per hipervisor), UAC (Control del compte d'usuari) i fins i tot Microsoft Defender (anteriorment conegut com Windows Defender).
Tractar amb BlackLotus afegint-lo a la capacitat de revocació UEFI tampoc no proporcionarà cap resultat significatiu, ja que la vulnerabilitat explotada es pot trobar en centenars de carregadors d'arrencada que encara estan en ús.
