Malware BlackLotus ignora a inicialização segura no Windows 11
Um bootkit furtivo UEFI chamado BlackLotus tornou-se o primeiro malware conhecido publicamente capaz de contornar as defesas do Secure Boot, tornando-o uma ameaça potente no cenário cibernético. Este bootkit pode ser executado mesmo em sistemas Windows 11 totalmente atualizados com UEFI Secure Boot ativado. Os bootkits UEFI são implantados no firmware do sistema e permitem controle total sobre o processo de inicialização do sistema operacional (SO), tornando possível desabilitar os mecanismos de segurança no nível do SO e implantar cargas arbitrárias durante a inicialização com altos privilégios.
Oferecido para venda por US$ 5.000, o kit de ferramentas poderoso e persistente é programado em Assembly e C e tem 80 kilobytes de tamanho. Ele também possui recursos de geofencing para evitar a infecção de computadores na Armênia, Bielo-Rússia, Cazaquistão, Moldávia, Romênia, Rússia e Ucrânia. O modus operandi exato usado para implantar o bootkit ainda é desconhecido, mas começa com um componente instalador responsável por gravar os arquivos na partição do sistema EFI, desabilitar o HVCI e o BitLocker e, em seguida, reinicializar o host.
Fonte: BoletimSec
Publicado em: Cybersegurança