На хакерских форумах начали рекламировать новый UEFI-буткит под названием BlackLotus. Как утверждает продавец, функционал нового продукта включает в себя встроенный обход Secure Boot, встроенную защиту от удаления на уровне Ring0/Ядра, а также возможность запуска в режиме восстановления и в безопасном режиме. Стоимость малвари составляет $5 тыс., а каждая новая версия обойдется еще в $200.
Главная особенность UEFI-буткитов заключается в том, что они внедряются прямо в прошивку устройства и «невидимы» для защитных продуктов, работающих в операционной системе. Все дело в том, что такой вредонос загружается на самом начальном этапе.
Одним из первых рекламу нового UEFI-буткита обнаружил известный эксперт по ИБ Скотт Шеферман (Scott Scheferman). По его данным, BlackLotus весит всего 80 килобайт, написан на ассемблере и C, а также умеет определять геозону жертвы во избежание заражения устройств в странах СНГ.
В «Лаборатории Касперского» также в курсе нового UEFI-буткита. По словам специалиста компании Сергея Ложкина, возможности буткита обычно доступны только серьезным группам «правительственных» хакеров, которые имеют соответствующее финансирование и подготовку.
Доступность BlackLotus – крайне опасная тенденция, но Скотт Шеферман считает, что к рекламе все же стоит относиться с долей скепсиса.
Источник: BleepingСomputer
