BlackLotus: il malware che aggira il Secure Boot di UEFI

I bootkit sono tra i malware più “minacciosi” in assoluto, in quanto in grado di prendere il controllo della sequenza di avvio del sistema operativo e disattivare i meccanismi di protezione attivi su di esso. Ad agire in tal modo è pure BlackLotus, una nuova minaccia informatica parte della categoria che è stata segnalata dai ricercatori di ESET, che viene venduta sul dark web per la cifra di 5.000 dollari e che sfrutta una vulnerabilità che permette di aggirare il Secure Boot dei firmware UEFI.

BlackLotus: bootkit che aggira il Secure Boot dei firmware UEFI

Andando più in dettaglio, BlackLotus è capace di disattivare Microsoft Defender, BitLocker e HVCI (Hypervisor-protected Code Integrity) sfruttando la vulnerabilità CVE-2022-21894 che, come antiicpato, consente di aggirare il Secure Boot.

Una volta ottenuta la persistenza, BlackLotus installa un driver del kernel che esegue diverse funzioni, come quella che impedisce la rimozione del bootkit. Viene installato pure un downloader HTTP che gestisce la connessione con il server C&C (command and control) e può scaricare altri malware. Il driver inietta poi il downloader nello spazio degli indirizzi del processo winlogon.exe.

Da tenere presente che i malintenzionati alle spalle di BlackLotus hanno provveduto a mettere in atto tecniche utili per cifrare i file con crittografia AES a 256 bit. Inoltre le comunicazioni avvengono con protocollo HTTPS e i messaggi inviati dal downloader al server sono cifrati con crittografia RSA.

Ricordiamo che per evitare di mettere a repentaglio la sicurezza del proprio computer è bene installare su di esso un buon software antivirus, come nel caso di Norton 360 Premium che tra l’altro viene spesso proposto a prezzo scontato.