Como ter um computador com apenas 80kb
O BlackLotus foi notícia no ano passado, depois que algumas esquisitices foram detectadas e enviadas ao VirusTotal. Essas detecções iniciais e outras atividades suspeitas relatadas à ESET sugeriam que isso era algo novo. A infecção parecia excepcionalmente resiliente, sobrevivendo à recriação de imagens, substituições de disco rígido e evitando o UEFI Secure Boot. Os especialistas levaram algum tempo para desvendar o BlackLotus e determinar exatamente o que estava fazendo, mas finalmente conseguiram e as notícias não são boas.
O BlackLotus infecta o UEFI da sua placa-mãe, mais especificamente a partição do sistema EFI, que é não protegido pelos mesmos recursos de segurança encontrados no chip SPI que você atualiza toda vez que atualiza para um novo BIOS. Isso permite que a infecção carregue antes do Secure Boot ou de qualquer outro recurso de segurança do seu hardware, o que lhe dá tempo para fazer um truque desagradável. O malware registra sua própria chave do proprietário da máquina como válida, em combinação com um shim loader assinado por vários distribuidores Linux. Nesse ponto, cada reinicialização aciona o bootkit garantindo que os invasores ainda sejam capazes de carregar qualquer infecção que seu antivírus consiga remover.
Esse é o uso real do BlackLotus, a capacidade de renderizar uma máquina permanentemente vulnerável a outros ataques de malware, concedendo acesso de administrador aos processos para aproveitar quaisquer outras vulnerabilidades do sistema presentes em seu sistema. Não há nada que você possa fazer para removê-lo se tiver sido infectado, a não ser jogar fora sua placa-mãe. No entanto, manter seu sistema atualizado com patches limitará as infecções secundárias que protegerão contra as infecções secundárias que o BlackLotus tenta carregar em seu sistema.
