Il malware BlackLotus elude il rilevamento
BlackLotus è un malware che secondo quanto riferito è in vendita sul dark web. Il malware ha capacità insolitamente impressionanti che lo fanno sembrare più uno strumento che utilizzerebbe un attore di minacce sponsorizzato dallo stato e non qualcosa che vedrai sul rig di uno script kiddie.
Secondo l'annuncio pubblicato su un forum di hacking sul dark web, BlackLotus è un bootkit UEFI. Ciò significa che il malware opera a un livello di sistema molto basso, inserendosi prima che il sistema si avvii correttamente e prima che il sistema operativo venga caricato.
Secondo quanto riferito, BlackLotus può impiantarsi all'interno dei componenti del firmware del sistema, rendendolo effettivamente parte del sistema e aiutandolo a rimanere nascosto dalla stragrande maggioranza del software antivirus che viene comunemente caricato dopo il kernel di sistema.
BlackLotus viene venduto come acquisto una tantum per la somma di $ 5000. Gli autori del malware affermano che il loro strumento raggiunge Ring 0 o essenzialmente l'accesso a livello di kernel. Supponendo che ciò sia vero, BlackLotus sarà incredibilmente difficile da rilevare e quasi impossibile da eliminare e pulire.
Gli autori si vantano inoltre che il loro strumento può disattivare Windows Defender e include funzionalità anti-debugging per impedire agli scanner di malware di rilevare la sua presenza una volta distribuito.