Soi-disant, un nouveau type rare de malware est disponible sur le marché noir, contenant des fonctionnalités généralement réservées aux outils de piratage gérés par l'État qui rendent la détection pratiquement impossible pour tout logiciel antivirus.
Connu sous le nom de BlackLotus, le malware est prétendu être un kit de démarrage Unified Extensible Firmware Interface (UEFI). UEFI est la norme informatique qui sert d'interface entre le système d'exploitation et le micrologiciel ; Lorsque vous allumez votre ordinateur, UEFI démarre un chargeur de démarrage, qui à son tour démarre le noyau et le système d'exploitation.
En se chargeant dans l'état de démarrage initial, le logiciel malveillant s'intègre dans le micrologiciel d'un système, ce qui lui permet de contourner tous les contrôles de sécurité des logiciels antivirus et de rester ainsi non détecté.
fonctionnalités lourdes
Sur un forum de logiciels malveillants en ligne où les licences BlackLotus sont apparemment vendues 5,000 XNUMX € chacune, le fournisseur affirme que même Safe Boot ne contrecarrera pas l'outil, car un bootloader vulnérable est utilisé. De plus, ils ont noté que l'ajout de ce chargeur de démarrage à la liste de révocation UEFI (s'ouvre dans un nouvel onglet) ne résoudrait pas le problème, car il existe actuellement des centaines d'autres avec la même vulnérabilité qui peuvent être utilisées à la place.
Un autre attribut qui rend BlackLotus si potentiellement dangereux est sa protection apparente Ring 0/kernel. Les ordinateurs fonctionnent à travers des anneaux de protection qui compartimentent le système à différents niveaux en fonction de leur importance critique pour le fonctionnement de la machine, afin d'empêcher les menaces potentielles et les bogues de fuir ailleurs.
L'accès à travers ces anneaux devient de plus en plus difficile. En son cœur se trouve Ring 0, qui contient le noyau : c'est ce qui connecte votre logiciel à votre matériel. Cet anneau représente le plus haut niveau de protection en termes d'accès, donc si BlackLotus a une protection anneau 0, il serait extrêmement difficile de s'en débarrasser.
Le fournisseur a également affirmé que BlackLotus a la capacité de désactiver Windows Defender et est livré avec un anti-débogage pour empêcher la détection des analyses de logiciels malveillants.
Il n'est plus entre les mains de l'État
Les experts avertissent que les logiciels malveillants à l'échelle de BlackLotus ne relèvent plus de la compétence exclusive des gouvernements et des États. Sergey Lozhkin, chercheur principal en sécurité chez Kaspersky, a déclaré (ouvre un nouvel onglet) : « Auparavant, ces menaces et technologies n'étaient accessibles qu'aux types qui développent des menaces persistantes avancées, principalement les gouvernements. Aujourd'hui, ce type d'outils est entre les mains de criminels sur les forums".
L'année dernière, un autre bootkit UEFI appelé ESPecter a été découvert, apparemment conçu il y a au moins 10 ans pour être utilisé dans les BIOS système, le précurseur de l'UEFI. Leur disponibilité en dehors des groupes étatiques reste très rare, du moins pour l'instant.
Un autre expert en sécurité, Eclypsium CTO Scott Scheferman, a tenté de tempérer les inquiétudes en disant qu'ils ne pouvaient toujours pas être sûrs des allégations alléguées de BlackLotus, affirmant que même si cela peut représenter un progrès en termes de facilité d'accès à des outils aussi puissants, peut-être encore en ses premiers stades de production et peut ne pas fonctionner aussi efficacement qu'on le prétend.
Quoi qu'il en soit, la marche du progrès évolue très rapidement dans le monde des cybercriminels, et si des profits peuvent être tirés de la production et de l'utilisation de logiciels malveillants aussi puissants, la demande pour son développement et son amélioration ne manquera pas. Une fois le chat sorti du sac, il est très difficile de le remettre.