BlackLotus Malware
Uma ameaça de malware que os pesquisadores de segurança cibernética estão descrevendo como 'quase indetectável' foi confirmada para ser vendida em fóruns de hackers. Rastreado como BlackLotus, o malware pode infectar os níveis mais fundamentais de um computador e tornar-se extremamente difícil de remover. De fato, suas capacidades o colocam no mesmo nível das ferramentas ameaçadoras observadas como parte do arsenal de grupos de hackers patrocinados pelo estado e APTs (Ameaças Persistentes Avançadas). Aparentemente, os cibercriminosos interessados poderiam obter uma licença dos criadores da ameaça por US$5.000.
Infecção no Estado Mais Baixo da Inicializaçã
BlackLotus é descrito como um bootkit UEFI (Unified Extensible Firmware Interface). UEFI é uma especificação amplamente utilizada que descreve software dedicado a facilitar a comunicação entre o sistema operacional (sistema operacional) e o firmware. Por sua vez, firmware é o software que fornece controle de baixo nível dos componentes de hardware do sistema. UEFI substituiu o firmware de inicialização do BIOS legado (Basic Input/Output System). Resumindo, UEFI é uma das primeiras coisas que inicializa quando um computador é ligado e precede a inicialização do kernel e do sistema operacional. De acordo com o vendedor, os recursos ameaçadores do BlackLotus Malware incluem desvio de inicialização segura, proteção RingO/Kernel contra remoção e a capacidade de iniciar no modo de segurança.
Recursos Ainda Mais Ameaçadores
No entanto, o BlackLotus, aparentemente, também está equipado com recursos anti-VM, anti-depuração e ofuscação de código para evitar possíveis tentativas de análise. O desenvolvedor da ameaça afirma que o BlackLotus é totalmente indetectável por soluções de segurança antimalware porque está sendo executado oculto em um processo legítimo na conta SYSTEM do dispositivo violado. Os invasores também podem utilizar a ameaça para desabilitar várias proteções de segurança integradas ao Windows, como HVCI (Hypervisor-Protected Code Integrity), UAC (User Account Control) e até mesmo Microsoft Defender (anteriormente conhecido como Windows Defender).
Lidar com o BlackLotus adicionando-o à capacidade de revogação UEFI também não fornecerá resultados significativos, pois a vulnerabilidade explorada pode ser encontrada em centenas de carregadores de inicialização que ainda estão em uso.
