Au-delà des virus classiques, il existe une autre menace, beaucoup plus dangereuse et difficile à détecter, qui sont Virus UEFI. Ce type de malware est installé dans le BIOS du système, en prenant le contrôle à partir du moment où nous allumons l’ordinateur, bien avant même que le système ne démarre. Étant à un niveau aussi bas, aucun antivirus n’est capable de le détecter, les pirates ont donc un contrôle total sur votre ordinateur.
BlackLotus est l’un des virus UEFI les plus populaires et les plus dangereux que l’on puisse trouver sur le Web. Cette menace informatique se distingue pour être la plus efficace lorsqu’il s’agit de contourner le démarrage sécurisé lors de l’installation de n’importe quel système d’exploitation (même le dernier Windows 11), ainsi que pour pouvoir échapper aux logiciels de sécurité. De plus, il reste persistant dans la mémoire du système infecté (ce qui le rend impossible à supprimer), et il charge des bibliothèques et exécute d’autres codes malveillants avec le plus haut niveau de privilèges du système d’exploitation (supérieur à SYSTEM).
Ce malware est capable de désactiver le chiffrement du disque BitLocker (en ayant accès à la mémoire dont il a accès à la clé), désactive Windows Defender, ou tout autre antivirus installé sur le PC, et désactive les fonctions d’intégrité de la mémoire, telles que le code protégé de l’hyperviseur ( HVCI) couche de sécurité.
À l’origine, ce malware a commencé à utiliser la vulnérabilité CVE-2022-21894, corrigée par Microsoft en 2022. Cependant, les pirates ont trouvé une autre faille de sécurité cette année, CVE-2023-24932, qui est celle qu’ils utilisent actuellement. Bien qu’il existe un correctif de sécurité pour cette vulnérabilité, Microsoft l’a désactivé par défaut, donc tous les ordinateurs sont vulnérables.
Code BlackLotus, maintenant sur GitHub
Ce malware était vendu sur des forums privés au sein du Deep Web pour 5 000 $ à d’autres pirates. De cette manière, ce malware n’est pas exclusif à un seul groupe de pirates, mais peut être accessible à tous. De plus, les développeurs ont continué à développer le code et à proposer des mises à jour (par exemple, pour les dernières vulnérabilités) pour 200 $ par mise à jour.
Cependant, un utilisateur, du nom de « Yukari », a divulgué le code de ce malware sur GitHub afin que n’importe qui puisse s’en procurer. Ce code est disponible sur GitHub et, bien que les experts en sécurité disent qu’il n’est pas complet ou fonctionnel, il contient les modules les plus dangereux.
La publication de ce malware est une arme à double tranchant. D’une part, la mauvaise nouvelle est que n’importe qui peut prendre ce code et l’implémenter dans son propre logiciel malveillant. Par conséquent, il est facile que très bientôt nous commencions à voir de nouveaux virus qui profitent de ces échecs à travers le réseau. Mais, d’un autre côté, les chercheurs en sécurité (même Microsoft lui-même) auront déjà une copie du malware et travailleront pour trouver une solution dès que possible.
Pour l’instant, nous devrons attendre et voir comment le domaine de la sécurité évolue après cette annonce. Ce qui est clair, c’est que nous devons prendre des précautions extrêmes si nous ne voulons pas finir dans les griffes des hackers. Soyez très prudent lorsque vous téléchargez des fichiers depuis Internet et, surtout, ne suivez jamais les liens des réseaux sociaux ou les e-mails suspects.