0
0
Apelidado de ‘Black Lotus’, o rootkit do Windows é uma ferramenta poderosa e persistente que está sendo vendida por US$ 5.000, com pagamentos de US$ 200 por nova versão e apresentando recursos semelhantes aos empregados por agentes de ameaças patrocinados pelo Estado.
Escrito em Assembly e C, o Black Lotus tem 80 kilobytes de tamanho e possui geofencing, para evitar a infecção de países na região da CEI.
De acordo com Scheferman, a ameaça inclui recursos de evasão , como antivirtualização, antidepuração e ofuscação de código, e pode desabilitar aplicativos de segurança e mecanismos de defesa em máquinas de destino, incluindo Integridade de código protegida por hipervisor (HVCI), BitLocker e Windows Defender .
Ao carregar o código antes da conclusão do processo de inicialização, o rootkit pode ignorar o controle de acesso do usuário (UAC) e a inicialização segura, pode carregar drivers não assinados e pode persistir sem ser detectado no firmware UEFI do dispositivo de destino, supostamente indefinidamente.
O Black Lotus, diz Scheferman, fornece um conjunto completo de recursos para invasores, incluindo transferência de arquivos e suporte a tarefas, e pode se tornar uma grande ameaça em ambientes de TI e OT.
“Considerando que esse tradecraft costumava ser relegado a APTs como o GRU russo e o APT 41 (nexo da China), e considerando as descobertas criminais anteriores que fizemos (por exemplo, o módulo #Trickboot do Trickbot), isso representa um ‘salto’ para frente, em termos de facilidade de uso, escalabilidade, acessibilidade e, mais importante, o potencial para muito mais impacto nas formas de persistência, evasão e/ou destruição”, diz Scheferman.
De acordo com Scheferman, a Black Lotus supostamente capaz de atingir uma ampla gama de tipos de dispositivos pode sugerir que seus desenvolvedores estão visando uma vulnerabilidade de bootloader não documentada que afeta muitos fornecedores.
A Kaspersky também ficou sabendo do Black Lotus , apontando que os recursos avançados do rootkit eram anteriormente típicos de malware de estado-nação, mas agora estão cada vez mais acessíveis aos cibercriminosos.
FONTE: SECURITYWEEK