BlackLotus Malware

En trussel mot skadelig programvare som cybersikkerhetsforskere beskriver som "nesten uoppdagelig" har blitt bekreftet å bli tilbudt for salg på hackerfora. Sporet som BlackLotus, kan skadelig programvare infisere de mest grunnleggende nivåene på en datamaskin og bli ekstremt vanskelig å fjerne. Faktisk setter egenskapene den på nivå med de truende verktøyene som ble observert som en del av arsenalet av statsstøttede hackergrupper og APT-er (Advanced Persistent Threats). Tilsynelatende kunne interesserte nettkriminelle få en lisens fra skaperne av trusselen for $5000.

Infeksjon ved laveste oppstartstilstand

BlackLotus er beskrevet som et UEFI (Unified Extensible Firmware Interface) bootkit. UEFI er en mye brukt spesifikasjon som beskriver programvare dedikert til å lette kommunikasjonen mellom operativsystemet (operativsystemet) og fastvaren. I sin tur er fastvare programvaren som gir kontroll på lavt nivå av maskinvarekomponentene i systemet. UEFI erstattet den eldre oppstartsfastvaren for BIOS (Basic Input/Output System). Kort sagt, UEFI er en av de første tingene som starter når en datamaskin slås på og går før oppstart av kjernen og OS. Ifølge selgeren inkluderer de truende funksjonene til BlackLotus Malware Secure Boot bypass, RingO/Kernel-beskyttelse mot å bli fjernet og muligheten til å starte i sikkermodus.

Enda flere truende funksjoner

Imidlertid er BlackLotus tilsynelatende også utstyrt med anti-VM-, anti-debug- og kodeobfuskeringsfunksjoner for å forhindre potensielle analyseforsøk. Utvikleren av trusselen uttaler at BlackLotus er helt uoppdagelig av anti-malware sikkerhetsløsninger fordi den kjører skjult i en legitim prosess under den brutte enhetens SYSTEM-konto. Angripere kan også bruke trusselen til å deaktivere flere sikkerhetsbeskyttelser som er innebygd i Windows, for eksempel HVCI (Hypervisor-Protected Code Integrity), UAC (User Account Control) og til og med Microsoft Defender (tidligere kjent som Windows Defender).

Å håndtere BlackLotus ved å legge den til UEFI-tilbakekallingsevnen vil heller ikke gi noen meningsfulle resultater, ettersom den utnyttede sårbarheten kan finnes i hundrevis av oppstartslastere som fortsatt er i bruk.