El malware BlackLotus evade la detección
BlackLotus es una pieza de malware que, según se informa, está a la venta en la dark web. El malware tiene capacidades inusualmente impresionantes que lo hacen parecer más una herramienta que usaría un actor de amenazas patrocinado por el estado, y no algo que verá en la plataforma de un script kiddie.
Según el anuncio publicado en un foro de piratería en la web oscura, BlackLotus es un kit de arranque UEFI. Esto significa que el malware opera en un nivel muy bajo del sistema, insertándose antes de que el sistema se inicie correctamente y antes de que se cargue el sistema operativo.
Según se informa, BlackLotus puede implantarse dentro de los componentes de firmware del sistema, convirtiéndolo efectivamente en parte del sistema y ayudándolo a mantenerse oculto de la gran mayoría del software antivirus que comúnmente se carga después del kernel del sistema.
BlackLotus se vende como una compra única por la suma de $5000. Los autores del malware afirman que su herramienta logra Ring 0 o esencialmente acceso a nivel de kernel. Suponiendo que esto sea cierto, BlackLotus será increíblemente difícil de detectar y casi imposible de eliminar y limpiar.
Los autores se jactan además de que su herramienta puede apagar Windows Defender e incluye capacidades anti-depuración para evitar que los escáneres de malware detecten su presencia una vez implementada.