Logiciel malveillant BlackLotus

Une menace malveillante que les chercheurs en cybersécurité décrivent comme "presque indétectable" a été confirmée comme étant proposée à la vente sur des forums de pirates. Suivi sous le nom de BlackLotus, le logiciel malveillant peut infecter les niveaux les plus fondamentaux d'un ordinateur et devenir extrêmement difficile à supprimer. En fait, ses capacités le placent à égalité avec les outils menaçants observés dans le cadre de l'arsenal des groupes de piratage parrainés par l'État et des APT (Advanced Persistent Threats). Apparemment, les cybercriminels intéressés pourraient obtenir une licence auprès des créateurs de la menace pour 5 000 $.

Infection à l'état de démarrage le plus bas

BlackLotus est décrit comme un kit de démarrage UEFI (Unified Extensible Firmware Interface). UEFI est une spécification largement utilisée qui décrit un logiciel dédié à faciliter la communication entre le système d'exploitation (système d'exploitation) et le micrologiciel. À son tour, le micrologiciel est le logiciel qui fournit un contrôle de bas niveau des composants matériels du système. UEFI a remplacé le micrologiciel de démarrage du BIOS (Basic Input/Output System). En bref, UEFI est l'une des premières choses qui démarrent lorsqu'un ordinateur est allumé et précède le démarrage du noyau et du système d'exploitation. Selon le vendeur, les fonctionnalités menaçantes du logiciel malveillant BlackLotus incluent le contournement du démarrage sécurisé, la protection RingO/Kernel contre la suppression et la possibilité de démarrer en mode sans échec.

Des fonctionnalités encore plus menaçantes

Cependant, BlackLotus, apparemment, est également équipé de fonctionnalités anti-VM, anti-débogage et d'obfuscation de code pour empêcher toute tentative d'analyse potentielle. Le développeur de la menace déclare que BlackLotus est entièrement indétectable par les solutions de sécurité anti-malware car il s'exécute caché dans un processus légitime sous le compte SYSTEM de l'appareil piraté. Les attaquants pourraient également utiliser la menace pour désactiver plusieurs protections de sécurité intégrées à Windows, telles que HVCI (Hypervisor-Protected Code Integrity), UAC (User Account Control) et même Microsoft Defender (anciennement Windows Defender).

Traiter BlackLotus en l'ajoutant à la capacité de révocation UEFI ne fournira pas non plus de résultats significatifs, car la vulnérabilité exploitée peut être trouvée dans des centaines de chargeurs de démarrage qui sont actuellement encore utilisés.