On parle toujours de l’importance d’avoir un bon antivirus installé sur le PC qui nous permet d’être protégé de toutes les menaces que l’on peut trouver sur le réseau. Mais les pirates veulent toujours garder une longueur d’avance, et essaient par tous les moyens de trouver un moyen de contourner ces mesures de sécurité, de prendre le contrôle des PC des victimes, et de rendre aussi difficile que possible la désinfection du système. . Et, de cette façon, un nouveau malware arrive qui, s’il infecte notre PC, peut nous donner beaucoup de maux de tête : Lotus Noir.
BlackLotus est un nouveau malware de type UEFI qui vient d’être mis en vente sur des forums de hackers spécialisés. Les logiciels malveillants de type UEFI sont différents de ce que nous pouvons trouver dans Windows. Ces menaces ne sont pas conçues pour prendre le contrôle d’un système d’exploitation en tant que tel, mais visent plutôt à infecter le BIOS UEFI de l’ordinateur et à pouvoir agir directement sur la RAM à partir de là.
Comme Windows lui-même n’est pas infecté, les programmes de sécurité sont incapables de détecter ce malware. Et, en attendant, il est capable de contrôler complètement tous les aspects du PC. Lorsque nous allumons l’ordinateur et chargeons le BIOS, le malware démarre directement et continue de s’exécuter dans la RAM. À partir de là, vous avez un contrôle total sur tous les composants de sécurité de Windows, tels que le Intégrité du code protégé par l’hyperviseur (HVCI), Windows Defender, et même le contrôle de compte UAC. Il dispose également de nombreuses fonctionnalités pour éviter la détection, telles qu’un bouclier anti-machine virtuelle, l’obscurcissement du code et le blocage de l’analyse. De plus, il parvient à fonctionner sous Windows avec les autorisations SYSTEM, donc aucun antivirus ne pourra même le voir de loin.
Un malware très complexe… et coûteux
Ceux qui veulent mettre la main sur une copie de ce malware ne devront payer ni plus ni moins que 5000 dollars. Un prix très élevé si l’on considère que, même s’il s’agit d’une excellente porte dérobée pour d’autres logiciels malveillants, il ne fait pas grand-chose par lui-même. Bien sûr, il commente également que les nouvelles compilations du malware ne coûteront « que » 200 dollars.
Il est très compliqué de protéger les ordinateurs contre cette menace. La première chose à garder à l’esprit est que notre carte mère est toujours en cours de maintenance et reçoit de nouvelles versions de firmware. De plus, il est également nécessaire que le fabricant mette à jour le bootloader pour protéger le système de la vulnérabilité utilisée par le pirate, ce qui n’est pas facile non plus, puisqu’il existe des centaines de bootloaders.
Enfin, bien qu’il soit très difficile de soupçonner que nous sommes infectés, si nous avons des soupçons ou des signes et que nous voulons nous assurer d’éliminer la menace, ce que nous devons faire, c’est re-flasher le BIOS UEFI sur la carte mère. Un procédé qui ne convient pas à tout le monde.
Pour le moment, on ne sait pas si le malware est complet ou si certains modules manquent. Et, pour le savoir, le seul moyen est d’en obtenir une copie et de l’exécuter dans un laboratoire, ce qui, pour l’instant, semble compliqué.
Malware UEFI : une nouvelle menace à surveiller
Les logiciels malveillants UEFI existent depuis de nombreuses années. Cependant, cette technique était principalement limitée à des groupes très petits et avancés, tels que des gouvernements ou des sociétés d’espionnage très avancées (NSA ou APT). Cependant, comme prévu, tôt ou tard, cette technique a commencé à être utilisée par d’autres groupes de pirates, tels que Trickbot.
Maintenant, en voyant comment d’autres pirates peuvent créer leurs nouveaux logiciels malveillants avec une relative facilité, et qu’ils sont vendus à un prix plus qu’acceptable au plus offrant, ce fait devient beaucoup plus inquiétant. Il faut donc user, plus que jamais, de précautions extrêmes.
Julien, rédacteur chez Progiciels Mag, se spécialise en cybersécurité et innovations technologiques. Sa passion pour le numérique et son expertise font de lui une source incontournable d’informations avant-gardistes pour les lecteurs. Son travail contribue significativement à maintenir le magazine à la pointe de l’actualité high-tech.