El llamado BlackLotus, puede saltarse la seguridad de un ordenador Windows fácilmente. Además, este malware se ha ido vendiendo en foros clandestinos de cibercriminales por hasta 5,000 dólares. Por lo que habrá que tener mucho ojo.
Esta nueva amenaza tiene un riesgo extra, no solo porque suele ser invisible para los programas de antivirus que instalamos en los ordenadores, sino porque consigue saltarse la seguridad del PC Windows. O, mejor dicho, tiene la capacidad de omitir un sistema de seguridad que veremos a continuación.
Se salta el arranque seguro de Windows
En este caso, estamos ante un novedoso kit de arranque UEFI para Windows, conocido por ser el primer malware que es capaz de omitir el arranque seguro de los ordenadores con este sistema operativo. Por lo que, puede traer de cabeza a los usuarios que tengan un PC Windows. Incluso, según la compañía de ciberseguridad ESET, ‘este bootkit puede ejecutarse incluso en sistemas Windows 11 completamente actualizados con UEFI Secure Boot habilitado‘.
Por lo que, al implementarse en el firmware UEFI del PC, puede llegar a tener el control total sobre el inicio de Windows. De esta manera, se consigue deshabilitar los mecanismos de seguridad que tengan el sistema operativo, en este caso, el sistema de Microsoft. Debemos tener en cuenta que el firmware UEFI se integró para ser el reemplazo perfecto de las viejas BIOS.
Además, según el investigador de seguridad cibernética Scott Scheferman, la licencia para hacerse con este malware es de 5,000 dólares. Y, eso no es todo, sino que por 200 dólares más se pueden lanzar nuevas versiones cada vez que sea necesario. Aunque, ahí no acaba el problema para los ordenadores Windows.
El mayor inconveniente de este malware es que, con solo un tamaño de 80 Kbytes, es completamente invisible para los antivirus. Por lo que se ha denominado, según los investigadores en ciberseguridad, como el primer virus conocido por omitir el arranque seguro de Windows.
La vulnerabilidad que explota BlackLotus
Este malware es antivirtualización, antidepuración y ofuscación de código. Además, Black Lotus también puede deshabilitar las soluciones de seguridad. Básicamente, esto se debe a que este malware aprovecha una vulnerabilidad de seguridad que ha sido etiquetada como CVE-2022-21894. De esta manera, consigue eludir por completo las protecciones de Windows para el arranque seguro de UEFI. Y no solo esto, sino que también puede configurar la persistencia.
A principios de 2022, Microsoft ya intentó abordar esta vulnerabilidad que podía ser explotada por terceros. No obstante, los cibercriminales aún pueden explotarla, dado que ‘los binarios firmados que han sido afectados aún no se han agregado a la lista de revocación de UEFI’, según martin Smolár, investigador de ESET.
Incluso, otro gran inconveniente de este malware es que se desconoce, por el momento, el modus operandi que utiliza a la hora de implementar el kit de arranque en un ordenador Windows. Además, si antes este tipo de amenazas solamente estaban en las manos de pocas personas, ahora están disponibles para los delincuentes en todos los foros. Por lo que el riesgo es mayor.