Malware BlackLotus evita a detecção

BlackLotus é um malware que supostamente está à venda na dark web. O malware tem recursos extraordinariamente impressionantes que o fazem parecer mais uma ferramenta que um agente de ameaças patrocinado pelo estado usaria, e não algo que você verá na plataforma de um script kiddie.

De acordo com o anúncio publicado em um fórum de hackers na dark web, o BlackLotus é um bootkit UEFI. Isso significa que o malware opera em um nível de sistema muito baixo, inserindo-se antes que o sistema inicialize corretamente e antes que o SO seja carregado.

O BlackLotus pode se implantar dentro dos componentes de firmware do sistema, tornando-o efetivamente parte do sistema e ajudando-o a permanecer oculto da grande maioria dos softwares antivírus que geralmente são carregados após o kernel do sistema.

BlackLotus é vendido como uma compra única no valor de $ 5.000. Os autores do malware afirmam que sua ferramenta atinge o Ring 0 ou essencialmente o acesso no nível do kernel. Supondo que isso seja verdade, o BlackLotus será incrivelmente difícil de detectar e quase impossível de se livrar e limpar.

Os autores se gabam ainda de que sua ferramenta pode desligar o Windows Defender e inclui recursos anti-depuração para impedir que os scanners de malware detectem sua presença depois de implantados.