Herramienta de piratería ‘casi indetectable’ a la venta en foro de malware

Herramienta de piratería ‘casi indetectable’ a la venta en foro de malware

Supuestamente, un tipo nuevo y raro de malware está disponible en el mercado negro, que contiene características típicamente reservadas para herramientas de piratería administradas por el estado que hacen que la detección sea prácticamente imposible para cualquier software antivirus.

Conocido como BlackLotus, se afirma que el malware es un kit de arranque de Interfaz de firmware extensible unificada (UEFI). UEFI es el estándar informático que sirve como interfaz entre el sistema operativo y el firmware; cuando enciende su computadora, UEFI inicia un gestor de arranque, que a su vez inicia el kernel y el sistema operativo.

Al cargarse en el estado de arranque inicial, el malware se incrusta en el firmware de un sistema, lo que le permite eludir todos los controles de seguridad del software antivirus y, por lo tanto, permanecer sin ser detectado.

Índice
  1. Características pesadas
  2. Ya no está en manos del Estado

Características pesadas

En un foro de malware en línea donde las licencias de BlackLotus aparentemente se venden por € 5,000 cada una, el proveedor afirma que incluso Safe Boot no frustrará la herramienta, ya que se usa un gestor de arranque vulnerable. Además, señalaron que agregar este cargador de arranque a la lista de revocación de UEFI (se abre en una nueva pestaña) no solucionaría el problema, ya que actualmente hay cientos de otros con la misma vulnerabilidad que pueden usarse en su lugar.

Otro atributo que hace que BlackLotus sea tan potencialmente peligroso es su aparente protección Ring 0/kernel. Los ordenadores funcionan mediante anillos de protección que compartimentan el sistema en diferentes niveles en función de su importancia fundamental para el funcionamiento de la máquina, con el fin de evitar que posibles amenazas y fallos se filtren a otras partes.

El acceso a través de estos anillos se vuelve cada vez más difícil. En su corazón está Ring 0, que contiene el kernel: es lo que conecta su software con su hardware. Este anillo representa el nivel más alto de protección en términos de acceso, por lo que si BlackLotus tiene protección de anillo 0, sería extremadamente difícil deshacerse de él.

El proveedor también afirmó que BlackLotus tiene la capacidad de deshabilitar Windows Defender y viene con anti-depuración para evitar la detección de escaneos de malware.

Ya no está en manos del Estado

Los expertos advierten que el malware a escala BlackLotus ya no es jurisdicción exclusiva de los gobiernos y estados. Sergey Lozhkin, investigador principal de seguridad de Kaspersky, dijo (se abre en una pestaña nueva): "Anteriormente, estas amenazas y tecnologías solo eran accesibles para los tipos que desarrollan amenazas persistentes avanzadas, principalmente los gobiernos. Hoy en día, este tipo de herramientas están en manos de criminales en los foros".

El año pasado, se descubrió otro bootkit UEFI llamado ESPecter que aparentemente fue diseñado hace al menos 10 años para su uso en sistemas BIOS, el precursor de UEFI. Su disponibilidad fuera de los grupos estatales sigue siendo muy rara, al menos por ahora.

Otro experto en seguridad, el CTO de Eclypsium, Scott Scheferman, trató de atenuar las preocupaciones diciendo que aún no podían estar seguros de las supuestas afirmaciones de BlackLotus, diciendo que si bien puede representar un avance en términos de facilidad de acceso a herramientas tan poderosas, puede todavía estar en sus primeras etapas de producción y no funcionar tan eficientemente como se afirma.

De cualquier manera, la marcha del progreso avanza muy rápidamente en el mundo de los ciberdelincuentes, y si se pueden obtener ganancias de la producción y el uso de un malware tan poderoso, no habrá escasez de demanda para su desarrollo y mejora. Una vez que el gato está fuera de la bolsa, es muy difícil volver a meterlo.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir