Segundo a Microsoft, os cibercriminosos usam a vulnerabilidade CVE-2022-21894 para implantar o BlackLotus UEFI Bootkit na máquina da vítima. Porém, a empresa de Redmond apontou a análise de certas partes para tentar identificar o vírus:
- Arquivos do carregador de inicialização criados e bloqueados recentemente;
- Presença de um diretório de preparo usado durante a instalação do BlackLotus no EPS:/ sistema de arquivos;
- Modificação da chave do Registro para a Integridade de Código Protegida pelo Hipervisor (HVCI);
- Logs de rede;
- Logs de configuração de inicialização;
- Artefatos de partição de inicialização.
Além disso, como o malware utiliza a vulnerabilidade CVE-2022-21894, é possível proteger o seu dispositivo se você usar um patch para resolver essa questão previamente.
A Microsoft também sugere para “evitar o uso de contas de serviço no nível de administrador. Restringir privilégios administrativos locais pode ajudar a limitar a instalação de cavalos de Tróia de acesso remoto (RATs) e outros aplicativos indesejados”.
BlackLotus custa mais de R$ 20 mil
Esse vírus está disponível desde 2022 em diversos fóruns de hackers e similares. Em seu anúncio de venda, os cibercriminosos dizem que o malware consegue evitar a detecção de antivírus, resistir a tentativas de remoção e pode desabilitar vários recursos de segurança.
Dessa forma, o preço de uma licença é por volta de US$ 5 mil (perto de R$ 24 mil em uma conversão direta), enquanto rebuilds estão custando US$ 200 (em torno de R$ 984).
Os vendedores afirmam que o BlackLotus tem proteção Ring0/Kernel integrada contra remoção, consegue iniciar no modo de recuperação ou segurança, além de ter o recurso de bypass de Inicialização Segura integrado.
De acordo com a Microsoft, depois de identificar o malware no computador, a pessoa precisa remover o dispositivo da rede e reinstalá-lo com um sistema operacional limpo e partição EFI. Ademais, um usuário pode restaurar o sistema a partir de um backup limpo com uma partição EFI.
Com informações: Bleeping Computer.
Microsoft quer ajudar a detectar um malware quase indetectável
You must be logged in to post a comment.