Come possedere un computer in soli 80kb
BlackLotus è stato nelle notizie l’anno scorso, dopo che alcune stranezze sono state rilevate e inviate a VirusTotal. Quei rilevamenti iniziali e ulteriori attività sospette segnalate a ESET suggerivano che si trattasse di qualcosa di nuovo. L’infezione sembrava eccezionalmente resiliente, sopravvivendo al reimaging, alla sostituzione del disco rigido e all’elusione dell’UEFI Secure Boot. Gli esperti hanno impiegato un po’di tempo per svelare BlackLotus e determinare esattamente cosa stesse facendo, ma alla fine ci sono riusciti e le notizie non sono buone.
BlackLotus infetta l’UEFI della tua scheda madre, in particolare la partizione di sistema EFI che è non protetto dalle stesse funzionalità di sicurezza che si trovano sul chip SPI che aggiorni ogni volta che esegui il flashing a un nuovo BIOS. Ciò consente all’infezione di caricarsi prima di Secure Boot o di qualsiasi altra funzionalità di sicurezza sul tuo hardware, il che gli dà il tempo di fare un brutto trucco. Il malware registra la propria chiave del proprietario della macchina come valida, in combinazione con uno shim loader firmato da vari distributori Linux. A quel punto, ogni riavvio avvia il bootkit assicurando che gli aggressori siano ancora in grado di caricare qualsiasi infezione che il tuo antivirus riesce a rimuovere.
Questo è il vero utilizzo di BlackLotus, la capacità di rendere permanentemente una macchina vulnerabile ad altri attacchi di malware concedendo l’accesso amministrativo ai processi al fine di sfruttare qualsiasi altra vulnerabilità del sistema presente sul sistema. Non c’è niente che puoi fare per rimuoverlo se sei stato infettato, a parte lanciare la tua scheda madre. Tuttavia, mantenere il tuo sistema aggiornato con le patch limiterà le infezioni secondarie che proteggeranno dalle infezioni secondarie che BlackLotus tenta di caricare sul tuo sistema.
