BlackLotus Malware

Ett hot mot skadlig programvara som cybersäkerhetsforskare beskriver som "nästan omöjligt att upptäcka" har bekräftats erbjudas till försäljning på hackerforum. Spåras som BlackLotus, skadlig programvara kan infektera de mest grundläggande nivåerna på en dator och bli extremt svår att ta bort. Faktum är att dess kapacitet ställer den i paritet med de hotfulla verktyg som observerats som en del av arsenalen av statligt sponsrade hackningsgrupper och APT:er (Advanced Persistent Threats). Tydligen kunde intresserade cyberbrottslingar få en licens från skaparna av hotet för $5000.

Infektion vid Lägsta Boot State

BlackLotus beskrivs som ett UEFI (Unified Extensible Firmware Interface) bootkit. UEFI är en flitigt använd specifikation som beskriver programvara dedikerad för att underlätta kommunikationen mellan OS (operativsystem) och firmware. I sin tur är firmware programvaran som ger kontroll på låg nivå av systemets hårdvarukomponenter. UEFI ersatte den äldre BIOS-startfirmwaren (Basic Input/Output System). Kort sagt, UEFI är en av de första sakerna som startar när en dator slås på och föregår uppstarten av kärnan och OS. Enligt säljaren inkluderar de hotfulla funktionerna i BlackLotus Malware Secure Boot bypass, RingO/Kernel-skydd mot att tas bort och möjligheten att starta i felsäkert läge.

Ännu mer hotfulla funktioner

Dock är BlackLotus uppenbarligen också utrustad med funktioner för anti-VM, anti-debug och kodobfuskation för att förhindra eventuella analysförsök. Utvecklaren av hotet uppger att BlackLotus är helt omöjlig att upptäcka av säkerhetslösningar mot skadlig programvara eftersom det körs dolt i en legitim process under den brutna enhetens SYSTEM-konto. Angripare kan också använda hotet för att inaktivera flera säkerhetsskydd som är inbyggda i Windows, såsom HVCI (Hypervisor-Protected Code Integrity), UAC (User Account Control) och till och med Microsoft Defender (tidigare känt som Windows Defender).

Att hantera BlackLotus genom att lägga till det i UEFI-återkallningsförmågan kommer inte heller att ge några meningsfulla resultat, eftersom den utnyttjade sårbarheten kan hittas i hundratals startladdare som fortfarande används.