BlackLotus: el malware que puede infectar tu PC y nadie puede parar
La seguridad de nuestros ordenadores está a merced de nuestras decisiones en gran parte de los casos. Esto se debe a que actualmente podemos estar completamente protegidos de malware durante años si no navegamos por webs de dudosa reputación y descargamos archivos ejecutables. No obstante, hay muchas donde de sobrepasar la seguridad de nuestros ordenadores y placas base UEFI, como empleando un nuevo rootkit UEFI llamado BlackLotus, un malware que ejecuta código malicioso en el anillo 0 de la arquitectura x86.
A la hora de calificar la seguridad en un PC, podemos usar el término de los anillos de protección. Estos indican, en un nivel jerárquico, la capacidad de protección de los datos que tienen. Funcionan como capas de privilegios, en una escala donde el menor número indica un mayor nivel de acceso. Así pues, el anillo 0 o nivel 0 será el que tiene la mayor cantidad de privilegios interactuando con el hardware, CPU y la memoria del núcleo. Esto significa, que si algún malware logra acceder aquí y ejecuta su código malicioso, podemos decir adiós.
BlackLotus es un rootkit UEFI de 5.000$: una ganga para los hackers
Desde hace relativamente poco, existe un bootkit llamado BlackLotus que logra superar las protecciones de Windows y el anillo 0. Entendemos como bootkit a un rootkit diseñado para infectar directamente el MBR (Master Boot Record) del equipo. Es decir, es un rootkit que afecta en el arranque del equipo o Boot UEFI. En la captura añadida, tenemos a un usuario llamado maxwell187 que se encarga de promocionar y vender este malware en foros de hackers hablando sobre todas sus bondades.
Además de su capacidad para sobrepasar los sistemas de protección de Windows y no ser eliminado del sistema, BlackLotus también es "económico". Hablamos de pagar únicamente 5.000 dólares por una licencia de BlackLotus, un precio que muchos pagarían para infectar Windows con este malware desde placas base UEFI. De hecho, este precio que podemos considerar caro, probablemente sea barato para muchos hackers de sombrero negro. Además, una reconstrucción del código futura cuesta 200 dólares.
Ocupa tan solo 80 KB de espacio y es invisible para Windows Defender
El resto de detalles sobre BlackLotus y lo peligroso que es, están resumidos gracias al investigador de seguridad Scott Scheferman. Este menciona en su publicación de LinkedIn, que BlackLotus pesa únicamente 80 KB y está escrito en lenguaje ensamblador y C. Entre sus características, es Anti-VM y Anti-Debug con ofuscación del código y atraviesa UAC y el Inicio Seguro en Windows. Además, puede cargar drivers no firmados y deshabilita HVCI, BitLocker e incluso el antivirus Windows Defender.
Con esto, queda claro que no podemos hacer nada para protegernos de él utilizando el propio antivirus con el que viene Windows. Según Scheferman, el mayor peligro de este malware BlackLotus, es el hecho de que esté disponible para la venta. A un precio que puede ser alto para muchos, pero sin duda es mucho más accesible que en el pasado. Este nuevo rootkit UEFI podría llevar a la ciberdelincuencia un paso más allá, pues como podemos ver es capaz de superar la seguridad de Windows sin problemas. Eso sí, todo esto es sobre el papel, dado que en la práctica no hemos visto imágenes que demuestren su funcionamiento. El tiempo dirá si BlackLotus se convierte en una verdadera amenaza o en una estafa de 5.000 euros.