A Microsoft compartilhou orientações para identificar o perigoso malware BlackLotus, que tem como alvo a Interface Unificada Extensível de Firmware (UEFI). O malware tem como principal habilidade a capacidade de ocultar dos aplicativos de antivírus.
Esse malware persiste mesmo após a reinstalação do sistema operacional ou a substituição do disco rígido, tornando-o extremamente difícil de ser detectado e eliminado.
Leia também
O que é malware? Conheça os tipos mais comuns
Malwares bancários para celular dobraram em 2022, aponta Kaspersky
Detecção do BlackLotus é complexa
De acordo com a Microsoft, os hackers exploram a vulnerabilidade CVE-2022-21894 para instalar o BlackLotus UEFI Bootkit nos dispositivos das vítimas. A empresa sugeriu a análise de diversos elementos para identificar a presença do malware, incluindo:
- Arquivos do bootloader criados e bloqueados recentemente;
- Um diretório de preparação utilizado durante a instalação do BlackLotus no sistema de arquivos EPS:/;
- Alterações na chave do Registro referente à Integridade de Código Protegida pelo Hipervisor (HVCI);
- Registros de rede;
- Registros de configuração de inicialização;
- Artefatos de partição de inicialização.
A Microsoft também recomendou a aplicação de um patch para corrigir a vulnerabilidade CVE-2022-21894 e evitar a infecção pelo BlackLotus. Além disso, a empresa aconselhou limitar o uso de contas de serviço em nível administrativo e restringir privilégios administrativos locais para impedir a instalação de cavalos de Tróia de acesso remoto (RATs) e outros aplicativos indesejáveis.
Malware BlackLotus custa bem caro
Disponível desde 2022 em fóruns de hackers, o BlackLotus é comercializado por aproximadamente US$ 5.000 (cerca de R$ 24.000 na conversão direta). Já as rebuilds do malware, por sua vez, custam US$ 200 (aproximadamente R$ 984).
De acordo com os desenvolvedores do vírus, ele é capaz de evitar a detecção de antivírus, resistir a tentativas de remoção e desabilitar diversos recursos de segurança. Não à toa esse malware custa tão caro.
A Microsoft orienta que, ao identificar o BlackLotus no dispositivo, o usuário deve desconectá-lo da rede e fazer uma reinstalação limpa do sistema operacional usando uma partição EFI. Outra alternativa é restaurar o sistema a partir de um backup limpo, também com uma partição EFI, para garantir a erradicação do malware.
A partição EFI (Extensible Firmware Interface) é uma pequena seção reservada no disco rígido do computador que armazena informações de inicialização e configuração do sistema, além de conter arquivos de boot necessários para o carregamento do sistema operacional. Ela faz parte do padrão UEFI (Unified Extensible Firmware Interface), que substitui o BIOS (Basic Input/Output System) em computadores modernos.
Fonte: Bleeping Computer e Microsoft
Deixe seu comentário