Malware BlackLotus

È stato confermato che una minaccia malware che i ricercatori della sicurezza informatica descrivono come "quasi non rilevabile" è stata messa in vendita sui forum degli hacker. Tracciato come BlackLotus, il malware può infettare i livelli più fondamentali di un computer e diventare estremamente difficile da rimuovere. In effetti, le sue capacità lo mettono alla pari con gli strumenti minacciosi osservati come parte dell'arsenale di gruppi di hacker e APT (Advanced Persistent Threats) sponsorizzati dallo stato. Apparentemente, i criminali informatici interessati potrebbero ottenere una licenza dai creatori della minaccia per $ 5000.

Infezione allo stato di avvio più basso

BlackLotus è descritto come un bootkit UEFI (Unified Extensible Firmware Interface). UEFI è una specifica ampiamente utilizzata che descrive il software dedicato a facilitare la comunicazione tra il sistema operativo (sistema operativo) e il firmware. A sua volta, il firmware è il software che fornisce il controllo di basso livello dei componenti hardware del sistema. UEFI ha sostituito il firmware di avvio del BIOS (Basic Input/Output System) legacy. In breve, UEFI è una delle prime cose che si avvia all'accensione di un computer e precede l'avvio del kernel e del sistema operativo. Secondo il venditore, le caratteristiche minacciose del malware BlackLotus includono il bypass dell'avvio protetto, la protezione RingO/Kernel contro la rimozione e la possibilità di avviarsi in modalità provvisoria.

Funzionalità ancora più minacciose

Tuttavia, BlackLotus, a quanto pare, è dotato anche di funzionalità anti-VM, anti-debug e offuscamento del codice per prevenire potenziali tentativi di analisi. Lo sviluppatore della minaccia afferma che BlackLotus è completamente non rilevabile dalle soluzioni di sicurezza anti-malware perché viene eseguito nascosto all'interno di un processo legittimo sotto l'account SYSTEM del dispositivo violato. Gli aggressori potrebbero anche utilizzare la minaccia per disabilitare diverse protezioni di sicurezza integrate in Windows, come HVCI (Hypervisor-Protected Code Integrity), UAC (User Account Control) e persino Microsoft Defender (precedentemente noto come Windows Defender).

Anche la gestione di BlackLotus aggiungendolo alla capacità di revoca UEFI non fornirà alcun risultato significativo, poiché la vulnerabilità sfruttata può essere trovata in centinaia di bootloader attualmente ancora in uso.