Ένας απειλητικός παράγοντας πουλά σε hacking forum αυτό που ισχυρίζεται ότι είναι ένα νέο bootkit UEFI που ονομάζεται BlackLotus, ένα κακόβουλο εργαλείο με δυνατότητες που συνήθως συνδέονται με απειλητικές ομάδες που υποστηρίζονται από το κράτος.
Δείτε επίσης: Καμπάνια phishing κάνει spoof το Google Translate και κλέβει τα credentials σας
Τα UEFI bootkits τοποθετούνται στο firmware του συστήματος και είναι αόρατα στο λογισμικό ασφαλείας που εκτελείται εντός του λειτουργικού συστήματος, επειδή το κακόβουλο λογισμικό φορτώνεται στο αρχικό στάδιο της ακολουθίας booting.
Ενώ οι εγκληματίες του κυβερνοχώρου που θέλουν άδεια για αυτό το bootkit των Windows πρέπει να πληρώσουν 5.000 $, ο απειλητικός παράγοντας λέει ότι η ανακατασκευή θα τους κόστιζε μόνο 200 $.
Ο πωλητής λέει ότι το BlackLotus διαθέτει ενσωματωμένη παράκαμψη Secure Boot, έχει ενσωματωμένη προστασία Ring0/Kernel κατά της αφαίρεσης και θα ξεκινήσει σε λειτουργία ανάκτησης ή σε ασφαλή λειτουργία.
Το BlackLotus ισχυρίζεται ότι διαθέτει λειτουργίες anti-virtual machine (anti-VM), κατά του εντοπισμού σφαλμάτων και του code obfuscation για να εμποδίσει τις προσπάθειες ανάλυσης κακόβουλου λογισμικού. Ο πωλητής ισχυρίζεται επίσης ότι το λογισμικό ασφαλείας δεν μπορεί να εντοπίσει και να σκοτώσει το bootkit καθώς εκτελείται στον λογαριασμό SYSTEM στο πλαίσιο μιας νόμιμης διαδικασίας.
Επίσης, αυτό το μικροσκοπικό bootkit με μέγεθος μόνο 80 kb στο δίσκο μετά την εγκατάσταση μπορεί να απενεργοποιήσει την ενσωματωμένη προστασία ασφαλείας των Windows, όπως το Hypervisor-Protected Code Integrity (HVCI) και το Windows Defender και να παρακάμψει το User Account Control (UAC).
Δείτε επίσης: Η αστυνομία ξεγέλασε την συμμορία Deadbolt ransomware και πήρε τα decryption keys
Το malware σε επίπεδο APT είναι πλέον ευρέως διαθέσιμο
Ο επικεφαλής ερευνητής ασφάλειας της Kaspersky, Sergey Lozhkin, εντόπισε το BlackLotus να διαφημίζεται και σε εγκληματικά φόρουμ και προειδοποίησε ότι αυτή είναι μια σημαντική κίνηση, καθώς αυτός ο τύπος δυνατότητας ήταν συνήθως διαθέσιμος μόνο σε κρατικές ομάδες hacking.
Άλλοι αναλυτές ασφαλείας επισήμαναν την ευρεία διαθεσιμότητα του BlackLotus για οποιονδήποτε κυβερνοεγκληματία θέλει να ξοδέψει πολλά χρήματα ως ένα άλμα προς την ευρύτερη διαθεσιμότητα δυνατοτήτων σε επίπεδο APT σε off-the-shelf malware.
Ωστόσο, οι ερευνητές αναφέρουν ότι μέχρι να βρεθεί ένα δείγμα, δεν υπάρχει τρόπος να καθοριστεί εάν το σύνολο των χαρακτηριστικών είναι πλήρες.
Δείτε επίσης: Το νέο ransomware Prestige επηρεάζει οργανισμούς σε Ουκρανία και Πολωνία
Εάν επιβεβαιωθεί, αυτή θα ήταν μια ανησυχητική τάση, καθώς το BlackLotus μπορεί να χρησιμοποιηθεί και για τη φόρτωση μη υπογεγραμμένων driver που θα μπορούσαν να χρησιμοποιηθούν σε επιθέσεις Bring Your Own Driver (BYOVD).
Τις τελευταίες εβδομάδες, τέτοιες επιθέσεις έχουν συνδεθεί με ένα ευρύ φάσμα απειλητικών παραγόντων, συμπεριλαμβανομένων ομάδων hacking που υποστηρίζονται από το κράτος, συμμοριών ransomware και άγνωστων εισβολέων.
Πηγή πληροφοριών: bleepingcomputer.com
