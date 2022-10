K tomu, aby někdo vypustil do světa škodlivou aplikaci, už dávno není nutné být zkušeným programátorem. Stačí navštívit hackerská fóra, kde jsou nabízeny různé typy hrozeb za úplatu. Jednou z aktuálních novinek je malware BlackLotus, jehož hlavní devizou je schopnost schovat se do UEFI – softwarového rozhraní mezi operačním systémem a firmwarem obsluhujícím hardware.

Výhodou ukrytí škodlivé aplikace v UEFI je skutečnost, že je neviditelná pro bezpečnostní software běžící v operačním systému. Kyberzločinci chtějí za licenci na tento bootkit pro systém Windows 5 000 dolarů (cca 125 tisíc korun). Případná úprava dle požadavku zákazníka pak přijde na 200 dolarů (asi 5 tisíc korun), informuje Bleeping Computer.

Malware BlackLotus

Prodejce uvádí, že BlackLotus je vybaven ochranou proti detekci a odstranění a aktivuje se i v případě spuštění režimu obnovení nebo nouzového režimu. Vývojáři mysleli také na ochranu proti pokusům o analýzu kódu a spuštění ve virtualizovaném prostředí. Údajně žádný bezpečnostní software nedokáže tento bootkit odhalit a zničit, protože běží pod systémovým účtem v rámci legitimního procesu.

Drobný malware o velikosti pouhých 80 kb dokáže po instalaci deaktivovat integrované bezpečnostní ochrany operačního systému Windows, jako je například HVCI (Hypervisor-Protected Code Integrity), Windows Defender a zvládne obejít UAC (User Account Control).

„Samotný software a obcházení funkce Secure Boot funguje nezávisle na výrobci. Pokud je použit Secure Boot, využívá se k nahrání bootkitu zranitelný podepsaný zavaděč,“ vysvětlil prodávající, když se potenciální zákazník zeptal, zda toto řešení bude fungovat s konkrétním firmwarem.

Nebezpečně dobrý

Vedoucí bezpečnostní expert společnosti Kaspersky Sergej Lozhkin si všiml, že BlackLotus je inzerován na kyberzločineckých fórech. Upozornil na fakt, že jde o významný krok, protože tento typ schopností byl běžně dostupný pouze státem sponzorovaným hackerským skupinám.

Scott Scheferman ze společnosti Eclypsium konstatoval, že tento typ škodlivé aplikace představuje skok vpřed, zejména pokud jde o snadnost použití, škálovatelnost, dostupnost, a hlavně potenciál pro mnohem větší dopad v podobě perzistence a vyhýbání detekci.

Pokud by se potvrdily všechny dosud publikované informace, jednalo by se o znepokojivý trend. BlackLotus by bylo možné použít například k nahrání nepodepsaných ovladačů, jež by mohly být použity při útocích typu BYOVD (Bring Your Own Driver). V posledních týdnech byly tyto útoky spojovány s celou řadou útočníků, včetně různými státy podporovanými hackerskými skupinami či ransomwarovými gangy.