Código fonte do malware BlackLotus surge online
O código fonte do malware BlackLotus UEFI acaba de ser revelado online, o que permite analisar melhor o funcionamento de uma das mais recentes ameaças, sobretudo para grandes empresas e entidades governamentais.
O BlackLotus é um malware focado para sistemas Windows, que consegue ultrapassar as medidas de proteção do Secure Boot para se instalar como um malware UEFI – um dos mais difíceis de identificar e remover. Este género de malware tende a ser bastante difícil de identificar, porque oculta as suas atividades na BIOS, e não é detetado nem mesmo por software de segurança dedicado.
Entre as funcionalidades conhecidas do mesmo encontra-se a capacidade de contornar a proteção BitLocker, de desativar ferramentas de antivírus e até de contornar proteções como a Hypervisor-protected Code Integrity (HVCI).
O Secure Boot do Windows é uma funcionalidade que, em teoria, deveria prevenir que este género de malware se instalasse na UEFI, conjugado com o Trusted Platform Module (TPM). O mesmo previne que rootkits se instalem no arranque do sistema.
O BlackLotus foi uma das primeiras ameaças capazes de contornar esta proteção, e de se instalar no sistema para roubar dados dos utilizadores.
A Microsoft tentou corrigir a situação em futuras atualizações do Windows, mas sem sucesso, tendo entretanto fornecido um guia para ajudar os utilizadores a corrigirem a falha – embora consideravelmente longo e difícil de aplicar para a maioria dos utilizadores.
Felizmente, o BlackLotus foca-se mais em empresas de grande destaque no mercado e entidades governamentais, tendo como alvo o roubo de dados sensíveis ou que podem ser usados para espionagem. No entanto, é uma ameaça grave que pode acabar por surgir em qualquer sistema.
O código fonte agora revelado, mesmo que esteja incompleto, permite que os investigadores de segurança possam analisar melhor como o malware funciona e quais as suas atividades. Isto também pode ajudar a criar mecanismos de defesa contra o malware.