O BlackLotus ataca as funcionalidades de segurança dos computadores que estão implementadas ao nível do firmware e tem um nível de sofisticação que só estava presente até agora em ‘Advanced Persistent Threats’ (ou APT) e em malware desenvolvido por grupos de hackers ligados a entidades governamentais. Este malware foi descoberto e dissecado pela Kaspersky em 2022 e é composto por uma mistura de código escrito em Assembler e C.
As conclusões de uma análise feita a este malware pela ESET, confirmaram uma das suas funcionalidades mais perigosas: o BlackLotus é o primeiro bootkit UEFI que está à venda, com a capacidade de comprometer um sistema, mesmo que a funcionalidade Secure Boot esteja ligada e configurada correctamente. Segundo a ESET, este malware consegue ser executado mesmo em sistemas que as mais recentes versões de firmware.
Actualizar o Windows 11 também não resulta contra o BlackLotus. A ESET, diz que este malware foi desenhado para tirar partido da vulnerabilidade CVE-2022-21894 “Secure Boot Security Feature Bypass Vulnerability”, resolvida pela Microsoft em Janeiro de 2022, mas que ainda pode ser explorada através da utilização de ficheiros com assinaturas digitais, que não tenham sido acrescentadas às listas revogação UEFI.
Este bootkit, consegue desligar funcionalidades de segurança ao nível do sistema operativo, como o BitLocker, HVCI e o Windows Defender. Depois de instalado, o principal objectivo do malware é a instalação de um driver de kernel, que o protege contra tentativas de remoção. A seguir, um módulo de download entra em contacto com um servidor de controlo, para obter instruções adicionais ou mais ficheiros para atacar o computador ao nível do utilizador ou do kernel do sistema operativo.
De acordo com a ESET, a venda do BlackLotus por 5000 dólares em fóruns de hackers é genuína e o malware funciona exactamente da forma como é anunciado pelo vendedor. No entanto, não há nenhuma informação acerca de quem o criou. A única pista que há é o facto de alguns instaladores do BlackLotus não completarem o processo de instalação em computadores localizados na Moldova, Rússia, Bielorrússia, Ucrânia, Arménia e Cazaquistão.