Cómo poseer una computadora en solo 80kb
BlackLotus estuvo en las noticias el año pasado, luego de que se detectaran algunas rarezas y se enviaran a VirusTotal. Esas detecciones iniciales y otras actividades sospechosas informadas a ESET sugirieron que se trataba de algo nuevo. La infección parecía excepcionalmente resistente, sobreviviendo a la creación de imágenes, los reemplazos del disco duro y evadiendo el arranque seguro de UEFI. Los expertos tardaron un tiempo en desentrañar BlackLotus y determinar exactamente lo que estaba haciendo, pero finalmente lo lograron y las noticias no son buenas.
BlackLotus infecta el UEFI de su placa base, más específicamente la partición del sistema EFI que es no está protegido por las mismas características de seguridad que se encuentran en el chip SPI que actualiza cada vez que actualiza a un nuevo BIOS. Eso permite que la infección se cargue antes que Secure Boot o cualquiera de las otras características de seguridad en su hardware, lo que le da tiempo para hacer un truco desagradable. El malware registra su propia clave de propietario de la máquina como válida, en combinación con un cargador shim firmado por varios distribuidores de Linux. En ese momento, cada reinicio activa el kit de arranque, lo que garantiza que los atacantes aún puedan cargar cualquier infección que su antivirus logre eliminar.
Ese es el uso real de BlackLotus, la capacidad de hacer que una máquina se vuelva permanente. vulnerable a otros ataques de malware al otorgar acceso de administrador a los procesos para aprovechar cualquier otra vulnerabilidad del sistema presente en su sistema. No hay nada que pueda hacer para eliminarlo si ha sido infectado, salvo tirar su placa base. Sin embargo, mantener su sistema actualizado con parches limitará las infecciones secundarias que protegerán contra las infecciones secundarias que BlackLotus intenta cargar en su sistema.
