BlackLotus-malware ontwijkt detectie
BlackLotus is een stukje malware dat naar verluidt te koop is op het dark web. De malware heeft ongewoon indrukwekkende mogelijkheden waardoor het meer lijkt op een tool die een door de staat gesponsorde dreigingsactor zou gebruiken, en niet iets dat je zult zien op het tuig van een scriptkiddie.
Volgens de advertentie op een hackforum op het dark web is BlackLotus een UEFI-bootkit. Dit betekent dat de malware op een zeer laag systeemniveau werkt en zichzelf invoegt voordat het systeem correct opstart en voordat het besturingssysteem wordt geladen.
BlackLotus kan zichzelf naar verluidt implanteren in de firmwarecomponenten van het systeem, waardoor het effectief onderdeel wordt van het systeem en het verborgen blijft voor de overgrote meerderheid van antivirussoftware die gewoonlijk wordt geladen na de systeemkernel.
BlackLotus wordt verkocht als een eenmalige aankoop voor een bedrag van $5000. De auteurs van de malware beweren dat hun tool Ring 0 of in wezen toegang op kernelniveau bereikt. Ervan uitgaande dat dit waar is, zal BlackLotus zowel ongelooflijk moeilijk te detecteren als bijna onmogelijk te verwijderen en op te schonen zijn.
De auteurs scheppen verder op dat hun tool Windows Defender kan uitschakelen en anti-debugging-mogelijkheden bevat om te voorkomen dat malwarescanners zijn aanwezigheid oppikken zodra ze zijn geïmplementeerd.
