Microsoft quer ajudar a detectar um malware quase indetectável

A Microsoft divulgou algumas orientações para ajudar na identificação de um malware complexo e de difícil detecção conhecido como BlackLotus. Este tipo de vírus é altamente sofisticado e tem como objetivo atacar a Interface de Firmware Extensível e Unificada (UEFI), que é a primeira ação executada quando se liga um computador. Por atuar antes mesmo do sistema operacional do computador, ele é capaz de se “ocultar” dos softwares antivírus e permanecer no dispositivo, mesmo após a reinstalação completa do sistema operacional ou a troca do HD.

Segundo a Microsoft, os cibercriminosos usam a vulnerabilidade CVE-2022-21894 para implantar o BlackLotus UEFI Bootkit na máquina da vítima. Porém, a empresa de Redmond apontou a análise de certas partes para tentar identificar o vírus:

Arquivos do carregador de inicialização criados e bloqueados recentemente;
Presença de um diretório de preparo usado durante a instalação do BlackLotus no EPS:/ sistema de arquivos;
Modificação da chave do Registro para a Integridade de Código Protegida pelo Hipervisor (HVCI);
Logs de rede;
Logs de configuração de inicialização;
Artefatos de partição de inicialização.

Além disso, como o malware utiliza a vulnerabilidade CVE-2022-21894, é possível proteger o seu dispositivo se você usar um patch para resolver essa questão previamente.