Software malicioso BlackLotus
Se ha confirmado que una amenaza de malware que los investigadores de ciberseguridad describen como "casi indetectable" se ofrece a la venta en foros de piratas informáticos. Rastreado como BlackLotus, el malware puede infectar los niveles más fundamentales de una computadora y volverse extremadamente difícil de eliminar. De hecho, sus capacidades lo ponen a la par con las herramientas amenazantes observadas como parte del arsenal de grupos de piratería patrocinados por el estado y APT (amenazas persistentes avanzadas). Aparentemente, los ciberdelincuentes interesados podrían obtener una licencia de los creadores de la amenaza por $5000.
Infección en el estado de arranque más bajo
BlackLotus se describe como un kit de arranque UEFI (Interfaz de firmware extensible unificada). UEFI es una especificación ampliamente utilizada que describe software dedicado a facilitar la comunicación entre el SO (sistema operativo) y el firmware. A su vez, el firmware es el software que proporciona un control de bajo nivel de los componentes de hardware del sistema. UEFI reemplazó el firmware de arranque BIOS (Sistema básico de entrada/salida) heredado. En resumen, UEFI es una de las primeras cosas que se inicia cuando se enciende una computadora y precede al arranque del kernel y el sistema operativo. Según el vendedor, las características amenazantes de BlackLotus Malware incluyen el desvío de arranque seguro, la protección de RingO/Kernel contra la eliminación y la capacidad de iniciarse en modo seguro.
Características aún más amenazantes
Sin embargo, BlackLotus, aparentemente, también está equipado con funciones anti-VM, anti-depuración y ofuscación de código para evitar posibles intentos de análisis. El desarrollador de la amenaza afirma que BlackLotus es totalmente indetectable por las soluciones de seguridad antimalware porque se ejecuta oculto dentro de un proceso legítimo en la cuenta del SISTEMA del dispositivo violado. Los atacantes también podrían utilizar la amenaza para deshabilitar varias protecciones de seguridad que vienen integradas con Windows, como HVCI (integridad de código protegido por hipervisor), UAC (control de cuentas de usuario) e incluso Microsoft Defender (anteriormente conocido como Windows Defender).
Tratar con BlackLotus al agregarlo a la capacidad de revocación de UEFI tampoco brindará ningún resultado significativo, ya que la vulnerabilidad explotada se puede encontrar en cientos de cargadores de arranque que actualmente todavía están en uso.
