Исследователи безопасности из компании ESET обнаружили вредоносную программу для перехвата UEFI под названием BlackLotus, которая считается первым вредоносным буткитом, способным обойти Secure Boot на системах Win11.
BlackLotus использует уязвимость безопасности (CVE-2022-21894), существующую уже более года, чтобы обойти Secure Boot и внедриться в компьютер.
В январе 2022 года Microsoft выпустила обновление для устранения уязвимости, но поскольку затронутые установочные файлы с действительной подписью не были добавлены в список блокировки UEFI, злоумышленник всё ещё может воспользоваться уязвимостью.
BlackLotus способен отключать механизмы безопасности операционной системы, такие как BitLocker, HVCI и Windows Defender. После установки основной целью вредоносной программы является установка драйверов ядра (что защищает их от удаления и т.д.) и HTTP-загрузчиков.
Интересно, что некоторые из проанализированных аналитиками программ установки BlackLotus не продолжают установку буткита, если скомпрометированный хост использует одну из следующих локализаций:
- Румынский (Молдова), ro-MD
- Русский (Молдова), ru-MD
- Русский (Россия), ru-RU
- Украинский (Украина), uk-UA
- Белорусский (Беларусь), be-BY
- Армянский (Армения), hy-AM
- Казахский (Казахстан), kk-KZ
После заражения устройства ПО отключает антивирусное программное обеспечение, такое как Defender, Bitlocker и HVCI на Win11. Вредоносное ПО появилось ещё в октябре 2022 года и продаётся на хакерских форумах за $5 000.
Ещё по теме:
- В январе глобальные продажи iPhone улучшились, но в целом продолжают сокращаться
- Apple удалила приложения банка «Тинькофф» из App Store
- В России упростили возможность покупки в зарубежных онлайн-магазинах