В интернете появилась реклама опасного UEFI-буткита BlackLotus

В интернете появилась реклама опасного UEFI-буткита BlackLotus

Вредоносное ПО умеет обходить Secure Boot, имеет защиту от удаления и может запускаться даже в безопасном режиме. Такие возможности обычно доступны серьезным группам «правительственных» хакеров.

На хакерских форумах начали рекламировать новый UEFI-буткит под названием BlackLotus. Как утверждает продавец, функционал нового продукта включает в себя встроенный обход Secure Boot, встроенную защиту от удаления на уровне Ring0/Ядра, а также возможность запуска в режиме восстановления и в безопасном режиме. Стоимость малвари составляет $5 тыс., а каждая новая версия обойдется еще в $200.

Главная особенность UEFI-буткитов заключается в том, что они внедряются прямо в прошивку устройства и «невидимы» для защитных продуктов, работающих в операционной системе. Все дело в том, что такой вредонос загружается на самом начальном этапе.

Одним из первых рекламу нового UEFI-буткита обнаружил известный эксперт по ИБ Скотт Шеферман (Scott Scheferman). По его данным, BlackLotus весит всего 80 килобайт, написан на ассемблере и C, а также умеет определять геозону жертвы во избежание заражения устройств в странах СНГ.

В «Лаборатории Касперского» также в курсе нового UEFI-буткита. По словам специалиста компании Сергея Ложкина, возможности буткита обычно доступны только серьезным группам «правительственных» хакеров, которые имеют соответствующее финансирование и подготовку.

Доступность BlackLotus – крайне опасная тенденция, но Скотт Шеферман считает, что к рекламе все же стоит относиться с долей скепсиса.

Источник: BleepingСomputer

Свежий выпуск «Люди PRO»

Читайте также