Un bootkit dangereux a été repéré sur le dark web, capable de contourner les solutions de cybersécurité et d’installer toutes sortes de logiciels malveillants sur un terminal vulnérable.
Un nouveau rapport des experts en cybersécurité ESET affirme que le bootkit est, très probablement, BlackLotus, un malware infâme vendu sur le dark web pour environ 5 000 $.
Non seulement BlackLotus peut contourner les programmes antivirus, mais il peut également fonctionner sur des appareils Windows 11 entièrement mis à jour, avec UEFI Secure Boot activé.
Épargner la Russie et ses voisins
Pour faire fonctionner le bootkit, ses créateurs ont exploité CVE-2022-21894, une vulnérabilité connue que Microsoft a corrigée il y a plus d’un an. Cependant, son exploitation est toujours possible car les binaires concernés et valablement signés n’ont toujours pas été ajoutés à la liste de révocation UEFI, a expliqué ESET. (s’ouvre dans un nouvel onglet). Cela signifie que BlackLotus peut apporter ses propres copies de binaires légitimes et vulnérables, puis exploiter la faille.
Après avoir désactivé l’antivirus (qui inclut même Windows Defender), le bootkit peut déployer un téléchargeur qui peut ensuite installer d’autres charges utiles malveillantes. Les chercheurs ont également remarqué que l’installateur épargne des appareils situés en Arménie, en Biélorussie, au Kazakhstan, en Moldavie, en Russie et en Ukraine.
BlackLotus a fait le tour du dark web, étant vendu pour environ 5 000 $. Cependant, de nombreux chercheurs pensaient que les publicités étaient fausses et que le logiciel malveillant n’existait pas vraiment.
« Nous pouvons maintenant présenter des preuves que le bootkit est réel et que la publicité n’est pas simplement une arnaque », déclare Martin Smolár, chercheur chez ESET. « Le faible nombre d’échantillons de BlackLotus que nous avons pu obtenir, à la fois de sources publiques et de notre télémétrie, nous porte à croire que peu d’acteurs malveillants ont encore commencé à l’utiliser. Nous craignons que les choses changent rapidement si ce bootkit tombe entre les mains de groupes de logiciels criminels, en raison de la facilité de déploiement du bootkit et des capacités des groupes de logiciels criminels à diffuser des logiciels malveillants à l’aide de leurs botnets.
La capacité de contrôler l’ensemble du processus de démarrage du système d’exploitation fait des bootkits UEFI une arme extrêmement puissante, a conclu ESET. Les pirates qui le déploient avec succès peuvent opérer furtivement sur le terminal cible et avec des privilèges élevés. Jusqu’à présent, une poignée de bootkits UEFI ont été observés dans la nature.
« Le meilleur conseil, bien sûr, est de maintenir votre système et son produit de sécurité à jour pour augmenter les chances qu’une menace soit stoppée dès le début, avant qu’elle ne puisse atteindre la persistance pré-OS », a conclu Smolár.