Microsoft revela estratégias para combater vírus quase indetectável BlackLotus

Microsoft revela estratégias para combater vírus quase indetectável BlackLotus

A Microsoft compartilhou orientações para identificar o perigoso malware BlackLotus, que tem como alvo a Interface Unificada Extensível de Firmware (UEFI). O malware tem como principal habilidade a capacidade de ocultar dos aplicativos de antivírus.

Esse malware persiste mesmo após a reinstalação do sistema operacional ou a substituição do disco rígido, tornando-o extremamente difícil de ser detectado e eliminado.

Leia também
O que é malware? Conheça os tipos mais comuns
Malwares bancários para celular dobraram em 2022, aponta Kaspersky

Detecção do BlackLotus é complexa

BlackLotus BootDrivers

De acordo com a Microsoft, os hackers exploram a vulnerabilidade CVE-2022-21894 para instalar o BlackLotus UEFI Bootkit nos dispositivos das vítimas. A empresa sugeriu a análise de diversos elementos para identificar a presença do malware, incluindo:

  • Arquivos do bootloader criados e bloqueados recentemente;
  • Um diretório de preparação utilizado durante a instalação do BlackLotus no sistema de arquivos EPS:/;
  • Alterações na chave do Registro referente à Integridade de Código Protegida pelo Hipervisor (HVCI);
  • Registros de rede;
  • Registros de configuração de inicialização;
  • Artefatos de partição de inicialização.

A Microsoft também recomendou a aplicação de um patch para corrigir a vulnerabilidade CVE-2022-21894 e evitar a infecção pelo BlackLotus. Além disso, a empresa aconselhou limitar o uso de contas de serviço em nível administrativo e restringir privilégios administrativos locais para impedir a instalação de cavalos de Tróia de acesso remoto (RATs) e outros aplicativos indesejáveis.

Malware BlackLotus custa bem caro

malware blacklotus

Disponível desde 2022 em fóruns de hackers, o BlackLotus é comercializado por aproximadamente US$ 5.000 (cerca de R$ 24.000 na conversão direta). Já as rebuilds do malware, por sua vez, custam US$ 200 (aproximadamente R$ 984).

De acordo com os desenvolvedores do vírus, ele é capaz de evitar a detecção de antivírus, resistir a tentativas de remoção e desabilitar diversos recursos de segurança. Não à toa esse malware custa tão caro.

A Microsoft orienta que, ao identificar o BlackLotus no dispositivo, o usuário deve desconectá-lo da rede e fazer uma reinstalação limpa do sistema operacional usando uma partição EFI. Outra alternativa é restaurar o sistema a partir de um backup limpo, também com uma partição EFI, para garantir a erradicação do malware.

A partição EFI (Extensible Firmware Interface) é uma pequena seção reservada no disco rígido do computador que armazena informações de inicialização e configuração do sistema, além de conter arquivos de boot necessários para o carregamento do sistema operacional. Ela faz parte do padrão UEFI (Unified Extensible Firmware Interface), que substitui o BIOS (Basic Input/Output System) em computadores modernos.

Fonte: Bleeping Computer e Microsoft 

Sobre o Autor

Avatar de Felipe Alencar
Cearense. 34 anos. Apaixonado por tecnologia e cultura. Trabalho como redator tech desde 2011. Já passei pelos maiores sites do país, como TechTudo e TudoCelular. E hoje cubro este fantástico mundo da tecnologia aqui para o HARDWARE.
Leia mais
Redes Sociais:

Deixe seu comentário

X