Home Tecnologia Microsoft quer ajudar a detectar um malware quase indetectável

A Microsoft disponibilizou algumas dicas para detectar um malware difícil de encontrar chamado BlackLotus. Esse tipo de vírus é bastante sofisticado e tem como alvo o Unified Extensible Firmware Interface (UEFI), que é a primeira coisa a ativar quando ligamos o computador. Por funcionar antes do próprio sistema operacional do PC, ele consegue se “esconder” do antivírus e ficar na máquina mesmo se tudo for reinstalado ou se houver a troca de disco rígido.

Segundo a Microsoft, os cibercriminosos usam a vulnerabilidade CVE-2022-21894 para implantar o BlackLotus UEFI Bootkit na máquina da vítima. Porém, a empresa de Redmond apontou a análise de certas partes para tentar identificar o vírus:

– Arquivos do carregador de inicialização criados e bloqueados recentemente;

–Presença de um diretório de preparo usado durante a instalação do BlackLotus no EPS:/ sistema de arquivos;

– Modificação da chave do Registro para a Integridade de Código Protegida pelo Hipervisor (HVCI);

– Logs de rede;

– Logs de configuração de inicialização;

– Artefatos de partição de inicialização.

Além disso, como o malware utiliza a vulnerabilidade CVE-2022-21894, é possível proteger o seu dispositivo se você usar um patch para resolver essa questão previamente.

A Microsoft também sugere para “evitar o uso de contas de serviço no nível de administrador. Restringir privilégios administrativos locais pode ajudar a limitar a instalação de cavalos de Tróia de acesso remoto (RATs) e outros aplicativos indesejados”.

Valor

Esse vírus está disponível desde 2022 em diversos fóruns de hackers e similares. Em seu anúncio de venda, os cibercriminosos dizem que o malware consegue evitar a detecção de antivírus, resistir a tentativas de remoção e pode desabilitar vários recursos de segurança.

Dessa forma, o preço de uma licença é por volta de US$ 5 mil (perto de R$ 24 mil em uma conversão direta), enquanto rebuilds estão custando US$ 200 (em torno de R$ 984).

Os vendedores afirmam que o BlackLotus tem proteção Ring0/Kernel integrada contra remoção, consegue iniciar no modo de recuperação ou segurança, além de ter o recurso de bypass de Inicialização Segura integrado.

De acordo com a Microsoft, depois de identificar o malware no computador, a pessoa precisa remover o dispositivo da rede e reinstalá-lo com um sistema operacional limpo e partição EFI. Ademais, um usuário pode restaurar o sistema a partir de um backup limpo com uma partição EFI.