.
O BlackLotus, um bootkit UEFI vendido em fóruns de hackers por cerca de US$ 5.000, agora pode ignorar o Secure Boot, tornando-o o primeiro malware conhecido a ser executado em sistemas Windows, mesmo com o recurso de segurança de firmware ativado.
O Secure Boot deve impedir que os dispositivos executem software não autorizado em máquinas da Microsoft. Mas, ao direcionar o UEFI, o malware BlackLotus é carregado antes de qualquer outra coisa no processo de inicialização, incluindo o sistema operacional e quaisquer ferramentas de segurança que possam pará-lo.
O principal pesquisador de segurança da Kaspersky, Sergey Lozhkin vi BlackLotus pela primeira vez sendo vendido em mercados de crimes cibernéticos em outubro de 2022 e os especialistas em segurança vêm desmontando peça por peça desde então.
Em pesquisar publicado hoje, Martin Smolár, analista de malware da ESET, diz que o mito de um bootkit selvagem ignorando a inicialização segura “agora é uma realidade”, em oposição à enorme quantidade de anúncios falsos de criminosos que tentam enganar seus colegas malfeitores.
O malware mais recente “é capaz de rodar até mesmo em sistemas Windows 11 totalmente atualizados com UEFI Secure Boot ativado”, acrescentou.
O BlackLotus explora uma vulnerabilidade de mais de um ano, CVE-2022-21894, para ignorar o processo de inicialização segura e estabelecer persistência. Microsoft fixo este CVE em janeiro de 2022, mas os criminosos ainda podem explorá-lo porque os binários assinados afetados não foram adicionados ao Lista de revogação UEFIobservou Smolár.
“O BlackLotus tira proveito disso, trazendo suas próprias cópias de binários legítimos – mas vulneráveis – para o sistema a fim de explorar a vulnerabilidade”, escreveu ele.
Além disso, um exploração de prova de conceito pois essa vulnerabilidade está disponível publicamente desde agosto de 2022, portanto, espere ver mais cibercriminosos usando esse problema para fins ilícitos em breve.
Tornando-o ainda mais difícil de detectar: o BlackLotus pode desabilitar várias ferramentas de segurança do sistema operacional, incluindo BitLocker, integridade de código protegida por hipervisor (HVCI) e Windows Defender, e ignorar o controle de conta de usuário (UAC), de acordo com a loja de segurança.
E embora os pesquisadores não atribuam o malware a uma determinada gangue ou grupo de estado-nação, eles observam que os instaladores do BlackLotus que analisaram não prosseguirão se o computador comprometido estiver localizado na Armênia, Bielo-Rússia, Cazaquistão, Moldávia, Romênia, Rússia e Ucrânia.
Depois que o BlackLotus explora o CVE-2022-21894 e desativa as ferramentas de segurança do sistema, ele implanta um driver de kernel e um downloader HTTP. O driver do kernel, entre outras coisas, protege os arquivos do bootkit contra remoção, enquanto o downloader HTTP se comunica com o servidor de comando e controle e executa cargas úteis.
A pesquisa do bootkit segue as vulnerabilidades UEFI em notebooks lenovo que a ESET descobriu na primavera passada, que, entre outras coisas, permitem que os invasores desabilitem a inicialização segura.
“Era apenas uma questão de tempo até que alguém aproveitasse essas falhas e criasse um bootkit UEFI capaz de operar em sistemas com UEFI Secure Boot ativado”, escreveu Smolár. ®
.
