Microsoft quer ajudar a detectar um malware quase indetectável
Malware conhecido como BlackLotus consegue se esconder dos aplicativos de antivírus; empresa de Redmond sugeriu ações para encontrá-lo e eliminá-lo
Malware conhecido como BlackLotus consegue se esconder dos aplicativos de antivírus; empresa de Redmond sugeriu ações para encontrá-lo e eliminá-lo
A Microsoft disponibilizou algumas dicas para detectar um malware difícil de encontrar chamado BlackLotus. Esse tipo de vírus é bastante sofisticado e tem como alvo o Unified Extensible Firmware Interface (UEFI), que é a primeira coisa a ativar quando ligamos o computador. Por funcionar antes do próprio sistema operacional do PC, ele consegue se “esconder” do antivírus e ficar na máquina mesmo se tudo for reinstalado ou se houver a troca de disco rígido.
Segundo a Microsoft, os cibercriminosos usam a vulnerabilidade CVE-2022-21894 para implantar o BlackLotus UEFI Bootkit na máquina da vítima. Porém, a empresa de Redmond apontou a análise de certas partes para tentar identificar o vírus:
Além disso, como o malware utiliza a vulnerabilidade CVE-2022-21894, é possível proteger o seu dispositivo se você usar um patch para resolver essa questão previamente.
A Microsoft também sugere para “evitar o uso de contas de serviço no nível de administrador. Restringir privilégios administrativos locais pode ajudar a limitar a instalação de cavalos de Tróia de acesso remoto (RATs) e outros aplicativos indesejados”.
Esse vírus está disponível desde 2022 em diversos fóruns de hackers e similares. Em seu anúncio de venda, os cibercriminosos dizem que o malware consegue evitar a detecção de antivírus, resistir a tentativas de remoção e pode desabilitar vários recursos de segurança.
Dessa forma, o preço de uma licença é por volta de US$ 5 mil (perto de R$ 24 mil em uma conversão direta), enquanto rebuilds estão custando US$ 200 (em torno de R$ 984).
Os vendedores afirmam que o BlackLotus tem proteção Ring0/Kernel integrada contra remoção, consegue iniciar no modo de recuperação ou segurança, além de ter o recurso de bypass de Inicialização Segura integrado.
De acordo com a Microsoft, depois de identificar o malware no computador, a pessoa precisa remover o dispositivo da rede e reinstalá-lo com um sistema operacional limpo e partição EFI. Ademais, um usuário pode restaurar o sistema a partir de um backup limpo com uma partição EFI.
Com informações: Bleeping Computer.