ผมเชื่อว่าผู้ใช้งานสายวินโดว์น่าจะพอคุ้นเคยกับไฟล์ประเภท Cabinet ที่มีนามสกุลไฟล์คือ .cab (ต่อไปนี้เราจะเรียกแบบย่อว่า CAB) ซึ่งโดยปกติแล้วมักจะถูกใช้ในการเก็บไฟล์และข้อมูลที่ถูกบีบอัด (compressed) เอาไว้ภายใน แต่นอกเหนือจากการใช้งานแบบปกติทั่วไปแล้ว ผู้โจมตีหรือแฮกเกอร์สามารถดัดแปลงไฟล์ CAB เพื่อใช้ในการรันมัลแวร์บนเครื่องเหยื่อด้วยการกดดับเบิ้ลคลิ๊กเพียงครั้งเดียวเท่านั้นครับ
กูเกิลรายงานถึงผลการเปิดฟีเจอร์ของ Google Play Protect ที่บล็อคไม่ให้ติดตั้งแอปนอกสโตร์หลังจากเริ่มเปิดบริการนี้มาตั้งแต่ปลายปี 2023 และเริ่มใช้งานในไทยตั้งแต่สงกรานต์ที่ผ่านมา โดยรวมตอนนี้บล็อคการติดตั้งไปแล้ว 4.8 ล้านครั้ง บนอุปกรณ์กว่า 1 ล้านเครื่อง และยังมีการบล็อคแอปไปกว่า 41,000 รายการ
ฟีเจอร์บล็อคการติดตั้งอัตโนมัติจะบล็อคแอปพลิเคชั่นที่ขอสิทธิ์ระดับสูง 4 สิทธิ์ ได้แก่ อ่าน/ส่ง SMS, อ่านข้อมูลการแจ้งเตือน, และสิทธิ์ช่วยเหลือพิเศษ (Accessibility) เนื่องจากสิทธิ์เหล่านี้มักถูกใช้โดยแอปดูดเงินที่ต้องการควบคุมหน้าจอ หรืออ่านค่า OTP จากธนาคาร
บริษัทความปลอดภัย Doctor Web รายงานการแพร่กระจายมัลแวร์ Android.Vo1d ในกล่องทีวีแอนดรอยด์ กลุ่มที่ใช้โค้ดจาก Android Open Source Project (AOSP) จำนวนประมาณ 1.3 ล้านเครื่อง โดยกล่องเหล่านี้ไม่ได้เป็นผลิตภัณฑ์ที่ใช้แบรนด์ Android TV หรือ Google TV จากกูเกิล
กล่องทีวีแอนดรอยด์ที่พบการแพร่ของมัลแวร์ เป็นกล่องไม่มีแบรนด์ 3 รุ่น ใช้ระบบปฏิบัติการ Android 7.1, Android 10.1, Android 12.1 โดยมีเครื่องกระจายอยู่ในประเทศกำลังพัฒนาหลายประเทศ เช่น บราซิล (28% ของกล่องทั้งหมดที่พบมัลแวร์), โมร็อกโก (7.0%), ปากีสถาน (5.1%) ส่วนละแวกเอเชียตะวันออกเฉียงใต้ มีมาเลเซีย (3%) และอินโดนีเซีย (2%) กรณีของประเทศไทยมีน้อยกว่านั้น แต่ไม่มีข้อมูลตัวเลข
SangRyol Ryu นักวิจัยจาก McAfee’s Mobile Research รายงานถึงมัลแวร์ในโทรศัพท์แอนดรอยด์ที่เรียกว่ากลุ่ม SpyAgent มุ่งเป้าชาวเกาหลีใต้ และกระจายไปถึงสหราชอาณาจักร กำลังพยายามอัพโหลดภาพขึ้นไปยังเซิร์ฟเวอร์ดพื่อ่านข้อความในภาพ
ตัวแอปนั้นไม่ต่างจากมัลแวร์ปกติที่สามารถส่งข้อมูลเครื่อง, ดูด SMS กลับเซิร์ฟเวอร์, และอ่านข้อมูลติดต่อ โดยมีพฤติกรรมพิเศษคือมันพยายามอัพโหลดภาพในเครื่องกลับเซิร์ฟเวอร์ด้วย
Ryu แฮกเข้าเซิร์ฟเวอร์ควบคุมของมัลแวร์ตัวนี้ได้สำเร็จ และพบว่าหน้าจอใช้ค้นหาค่า seed ของกระเป๋าเงินคริปโตเป็นหลัก เมื่อได้ภาพมาแล้วก็พยายามทำ OCR อ่านข้อความในภาพเพื่อดึงข้อความออกมา
คนที่ติดตามข่าวสารด้าน cybersecurity น่าจะพอทราบกันดีว่ากลุ่มแฮกเกอร์จากประเทศเวียดนามมีความถนัดและให้ความสนใจในการใช้มัลแวร์เพื่อขโมยข้อมูล (InfoStealer) โดยมุ่งเป้าไปที่ข้อมูลจากเว็บเบราว์เซอร์ เช่น username และ password ที่บันทึกเอาไว้, cookies, และ web data เป็นต้น
ในครั้งนี้เราจะมาวิเคราะห์มัลแวร์สายมิจดังกล่าว โดยใช้ไฟล์จาก Any.Run ซึ่งถูกอัพโหลดจากประเทศไทย
เมื่อสัปดาห์ที่ผ่านมา มีรายงานว่าบัญชี TikTok ที่มีผู้ติดตามจำนวนมากหลายบัญชีถูกแฮก ด้วยวิธีการส่งมัลแวร์ผ่าน DM โดยที่ผู้รับไม่ต้องคลิกลิงก์ใด ๆ ขอเพียงเปิดและโหลดข้อความที่ปรับแต่งเพื่อเรียกมัลแวร์ขึ้นมา ก็อาจถูกยึดครองบัญชีได้
เรื่องนี้เป็นประเด็นใหญ่เพราะหนึ่งในบัญชีที่ถูกแฮกคือ CNN และ Paris Hilton จากนั้นมีรายงานว่าดารา, นักการเมือง, นักเคลื่อนไหว และผู้สื่อข่าวหลายคน ก็ได้รับข้อความ DM ประเภทนี้เช่นกัน
ล่าสุด TikTok แถลงว่าบัญชีที่ถูกแฮกไปนั้นตอนนี้ได้กู้กลับคืนให้เจ้าของแล้ว ส่วนช่องโหว่ที่มีรายงาน ได้แก้ไขปิดช่องโหว่ไปแล้ว
ที่มา: Axios
คณะกรรมการสิทธิมนุษยชนแห่งชาติ (กสม.) ระบุว่าหลังจากมีผู้ร้องไปยังกสม. ว่าอุปกรณ์ถูกแฮกโดยมัลแวร์ Pegasus และกสม. พิจารณาข้อมูลแล้ว เชื่อได้ว่าผู้ร้องถูกแฮกโดยมัลแวร์นี้จริง ประกอบกับข้อมูลการจัดซื้อมัลแวร์แบบเดียวกันโดยหน่วยงานรัฐ จึงไม่อาจปฎิเสธว่าหน่วยงานรัฐไม่เกี่ยวข้อง
ตัวกสม. เองไม่ได้มีอำนาจสอบสวนโดยตรง แต่จะทำข้อเสนอไปยังคณะรัฐมนตรีเพื่อให้สั่งการสอบสวนการใช้งานมัลแวร์นี้ทางที่อาจจะไม่เป็นไปตามกรอบของกฎหมาย รวมถึงให้ศึกษาเพื่อวางกฎหมายหรือระเบียบต่างๆ เพื่อควบคุมการใช้มัลแวร์แบบเดียวกัน
Python Package Index หรือ PyPI คลังซอฟต์แวร์ภาษา Python ยังตกเป็นเป้าโจมตีของแฮ็กเกอร์อย่างต่อเนื่อง ตามกระแสการโจมตี supply chain attack คลังแพ็กเกจยี่ห้อต่างๆ เพราะสามารถกระจายมัลแวร์ได้ในวงกว้าง
ล่าสุด PyPI ต้องประกาศปิดรับสมัครบัญชีผู้ใช้ใหม่ และการสร้างโครงการในระบบใหม่เป็นเวลาราว 10 ชั่วโมง โดยระบุคร่าวๆ ว่าเป็นเพราะโดนโจมตีด้วยการสร้างบัญชีผู้ใช้จำนวนมากเพื่ออัพโหลดมัลแวร์เข้าระบบ
JFrog บริษัทผู้ให้บริการซอฟต์แวร์ด้าน CI/CD ออกรายงานความปลอดภัย เตือนปัญหาการแพร่กระจายโมเดล LLM ที่แอบฝังมัลแวร์หรือ backdoor เผยแพร่ผ่านเว็บไซต์กลางอย่าง Hugging Face
ปัญหาการเผยแพร่ซอฟต์แวร์ที่แอบฝังมัลแวร์บนเว็บไซต์ซื้อขายแลกเปลี่ยนแพ็กเกจซอฟต์แวร์ หรือที่เราเรียกว่า supply chain attack มีมานานแล้วและรุนแรงขึ้นเรื่อยๆ เช่น กรณีของ PyPI, กรณีของ npm, กรณีของ GitHub ล่าสุดลามมาถึง Hugging Face เว็บไซต์เผยแพร่โมเดล AI ชื่อดัง ตามกระแสโลกเทคโนโลยีเรียบร้อย
Alvin Tan รัฐมนตรีกระทรวงพาณิชย์และอุตสาหกรรมสิงคโปร์ให้ข่าวว่าตัวเลขประชาชนที่ใช้ฟีเจอร์ล็อกเงินไม่ให้ถอนผ่านบริการออนไลน์ตอนนี้มีเกิน 61,000 บัญชี รวมมูลค่าเงินถึง 5.4 พันล้านดอลลาร์สิงคโปร์ หรือกว่า 140,000 ล้านบาท หลังจากธนาคารหลักๆ ในสิงคโปร์เปิดบริการนี้เมื่อปลายปีที่ผ่านมา
Group-IB บริษัทความปลอดภัยไซเบอร์รายงานถึงกลุ่มมัลแวร์ขโมยเงิน GoldDigger ว่ามุ่งเป้าเหยื่อในไทยและเวียดนาม ความพิเศษคือกลุ่มนี้โจมตีทั้งผู้ใช้ iOS และ Android
มัลแวร์ GoldPickaxe ของกลุ่ม GoldDigger นี้มีทั้งรุ่น iOS และ Android โดยผู้ใช้ iOS อาศัยการติดตั้งผ่าน TestFlight หรือการติดตั้ง MDM Profile ที่ปกติแล้วเป็นการเชื่อมอุปกรณ์เข้ากับระบบขององค์กรให้ผู้ดูแลขององค์กรเข้ามาควบคุมโทรศัพท์ได้
ทาง Group-IB ระบุว่า GoldPickaxe ไม่ได้ขโมยเงินจากแอปธนาคารในเครื่องโดยตรงเหมือนแอปดูดเงินที่ระบาดก่อนหน้านี้ แต่อาศัยการรวบรวมข้อมูลทั้งหมายเลขโทรศัพท์, ดัก SMS, และพรอกซี่ข้อมูลเข้าออกจากโทรศัพท์ เพื่อไปติดตั้งแอปธนาคารบนแอนดรอยด์ของคนร้ายเองแล้วดูดเงินออไปจากบัญชีของเหยื่อ
ตำรวจสิงคโปร์ออกรายงานสรุปภาพรวมคดีหลอกลวง โดยปีนี้เป็นปีแรกที่แอปดูดเงิน (malware scam) ถูกรวมเข้าไว้ในรายงานนี้ โดยรวมมีคดี 1,899 คดี คิดเป็นความเสียหาย 34.1 ล้านดอลลาร์สิงคโปร์ หรือประมาณ 910 ล้านบาท
ความเสียหายและจำนวนคดีของแอปดูดเงินนับว่าน้อยเมื่อเทียบกับการหลอกลวงอื่นๆ หากนับตามมูลค่าความเสียหายแล้ว 5 อันดับแรกได้แก่ 1) หลอกลวงลงทุน 204.5 ล้านดอลลาร์สิงคโปร์ 2) หลอกลวงว่าได้จ้างงาน 135.7 ล้านดอลลาร์สิงคโปร์ 3) หลอกลวงว่าเป็นเจ้าหน้าที่รัฐ 92.5 ล้านดอลลาร์สิงคโปร์ 4) หลอกให้รัก 39.8 ล้านดอลลาร์สิงคโปร์
ศูนย์ประสานงานรักษาความมั่นคงปลอดภัยทางคอมพิวเตอร์ด้านโทรคมนาคม (TTC-CERT) ได้ทำการตรวจสอบไฟล์ต้องสงสัยจำนวนหลายรายการซึ่งได้รับมอบมาจากหน่วยงานด้านความมั่นคงแห่งหนึ่งในประเทศไทยและพบว่าไฟล์เหล่านั้นเป็นไฟล์อันตรายซึ่งมีวัตถุประสงค์เพื่อใช้ในการควบคุมเครื่องคอมพิวเตอร์เป้าหมายจากระยะไกล (Remote Access Control) และจากข้อมูลที่พบในการวิเคราะห์ครั้งนี้ ศูนย์ TTC-CERT มีความเชื่อมั่นในระดับสูง (High Level of Confidence) ว่าการโจมตีในครั้งนี้เป็นส่วนหนึ่งของแคมเปญการโจมตีทางไซเบอร์ BangkokShell (อ้างอิง 1, อ้างอิง 2) ซึ่งมุ่งเป้าโจมตีหน่วยงานในประเทศไทยและมีเป้าหมายหลักคือหน่วยงานด้านความมั่นค
ศูนย์ประสานงานรักษาความมั่นคงปลอดภัยทางคอมพิวเตอร์ด้านโทรคมนาคม (TTC-CERT) พบการรายงานจาก Unit 42 ซึ่งได้ระบุถึงการตรวจพบแคมเปญการโจมตีทางไซเบอร์ของกลุ่ม Mustang Panda จำนวน 3 รายการในเดือนสิงหาคม พ.ศ.2566 ซึ่งกำหนดเป้าหมายไปยังหน่วยงานต่าง ๆ ในแถบแปซิฟิกใต้ รวมถึงรัฐบาลของประเทศฟิลิปปินส์ แคมเปญการโจมตีเหล่านี้กลุ่มผู้โจมตีได้ฝังมัลแวร์ไว้ภายในซอฟต์แวร์ที่ใช้งานโดยปกติทั่วไป โดยการโหลดไฟล์ที่เป็นอันตรายผ่านซอฟต์แวร์ชื่อ Solid PDF Creator และ SmadavProtect (เป็นโซลูชั่นแอนตี้ไวรัสจากประเทศอินโดนีเซีย) ซึ่งปฏิบัติการเหล่านี้มีความเชื่อมโยงกับกลุ่ม Mustang Panda แสดงให้เห็นถึงวัตถ
ตั้งแต่ Windows 10 (Fall Creators Update) เป็นต้นมา ไมโครซอฟท์มีช่องทางการติดตั้งแอพผ่านหน้าเว็บชื่อ App Installer เป็นการคลิกลิงก์ที่ใช้ URL ขึ้นต้นด้วย ms-appinstaller เพื่ออำนวยความสะดวกให้ผู้ใช้ (รายละเอียด) โดยเบื้องหลังเป็นการติดตั้งไฟล์ในแพ็กเกจฟอร์แมตใหม่ MSIX ที่ใช้ใน Windows 10 อยู่แล้ว
ศูนย์ประสานงานรักษาความมั่นคงปลอดภัยทางคอมพิวเตอร์ด้านโทรคมนาคม (TTC-CERT) รายงานการวิเคราะห์เปรียบเทียบรูปแบบและวิธีการโจมตีในแคมเปญ BangkokShell ที่ตรวจพบในช่วงเดือนเมษายน 2566 ถึง กันยายน 2566 ซึ่งทำให้เห็นถึงการพัฒนา Tactics, Techniques, และ Procedures (TTPs) ของการโจมตีในแคมเปญ BangkokShell รวมถึงทำความเข้าใจหลักการและเหตุผลเบื้องหลังการเปลี่ยนแปลงดังกล่าว
ศูนย์ประสานงานรักษาความมั่นคงปลอดภัยทางคอมพิวเตอร์ด้านโทรคมนาคม (TTC-CERT) รายงานการตรวจพบไฟล์ RAR ที่เกี่ยวข้องกับกลุ่มผู้โจมตีที่รู้จักในชื่อ “Mustang Panda” ซึ่งเป็นกลุ่มที่ได้รับการสนับสนุนจากรัฐบาลและมีฐานปฏิบัติการอยู่ในประเทศที่ใช้ภาษาจีนในการสื่อสาร โดยมีเป้าหมายการโจมตีต่อหน่วยงานต่าง ๆ ทั่วโลก โดยเฉพาะประเทศในแถบเอเชียตะวันออกเฉียงใต้ สหรัฐอเมริกา และยุโรป
ศูนย์ประสานงานรักษาความมั่นคงปลอดภัยทางคอมพิวเตอร์ด้านโทรคมนาคม (TTC-CERT) รายงานการตรวจพบ Python Infostealer Malware ซึ่งเป็นไฟล์สคริปต์ที่พัฒนาด้วยภาษา Python และทำงานในลักษณะของ Infostealer ถูกนำมาใช้ในการโจมตีผู้ใช้งานในประเทศไทย โดยคาดว่าเป็นฝีมือของกลุ่มแฮกเกอร์ที่ใช้ภาษาเวียดนามในการสื่อสาร
ศูนย์ประสานงานรักษาความมั่นคงปลอดภัยทางคอมพิวเตอร์ด้านโทรคมนาคม (TTC-CERT) รายงานการตรวจพบแคมเปญการโจมตีทางไซเบอร์ซึ่งทำการโจมตีหน่วยงานด้านความมั่นคงแห่งหนึ่งในประเทศไทย โดยศูนย์ TTC-CERT คาดการณ์ด้วยความเชื่อมั่นระดับปานกลาง (medium level of confidence) ว่ากลุ่มผู้โจมตีที่อยู่เบื้องหลังการโจมตีในครั้งนี้มีความเกี่ยวข้องกับกลุ่มแฮกเกอร์ที่ใช้ภาษาจีนในการสื่อสาร
บริษัทความปลอดภัย Doctor Web รายงานข่าวการระบาดของไฟล์ ISO เถื่อนของ Windows 10 ที่แจกตามเว็บไซต์ torrent ต่างๆ แอบฝังมัลแวร์ในพาร์ทิชัน Extensible Firmware Interface (EFI)
พาร์ทิชัน EPI เป็นพาร์ทิชันขนาดเล็กบนดิสก์ ที่มีไฟล์สำหรับ bootloader ใช้ในการบูท OS ขึ้นมาอีกที พาร์ทิชันนี้เป็นส่วนหนึ่งของระบบบูท UEFI ในภาพรวม ที่นำมาใช้แทนระบบ BIOS เดิม
ไฟล์ ISO เถื่อนอาศัยว่าผู้ใช้ดาวน์โหลดไฟล์เพื่อไปติดตั้ง OS ใหม่ ได้สิทธิการเข้าถึงขั้นสูงสุดตั้งแต่แรกอยู่แล้ว จึงแอบฝังมัลแวร์-โทรจันเข้ามาในตัวติดตั้งด้วย เท่าที่ตรวจพบมี 3 ไฟล์ทำงานร่วมกัน
ศูนย์ประสานงานรักษาความมั่นคงปลอดภัยทางคอมพิวเตอร์ด้านโทรคมนาคม (TTC-CERT) รายงาน เกี่ยวกับเทรนด์ในปัจจุบันที่กลุ่มผู้โจมตี (threat actor) กำลังให้ความนิยมในการโจมตีด้วยเทคนิคที่เรียกว่า Malvertising เพื่อแพร่กระจายมัลแวร์ในโลกออนไลน์โดยใช้แพลตฟอร์ม Google Adsense และ Facebook Ads ซึ่งวิธีการนี้ช่วยให้กลุ่มผู้โจมตีสามารถกำหนดกลุ่มเป้าหมายที่ต้องการโจมตีได้อย่างละเอียด เช่น สามารถกำหนดเกณฑ์อายุ ตำแหน่งที่อยู่ หรือแสดงโฆษณาเฉพาะคีย์เวิร์ดที่ตรงกับกลุ่มเป้าหมายเท่านั้น ทำให้โฆษณาแฝงมัลแวร์เหล่านี้ไปปรากฏบนหน้าจอของผู้ใช้งานได้ตรงกลุ่มเป้าหมายตามที่กลุ่มผู้โจมตีต้องการ เมื่อประกอบกับพฤติกรรมการ
หน่วยข่าวกรองของรัสเซีย Federal Security Service (FSB) รายงานว่าตรวจพบมัลแวร์ใน iPhone พร้อมกับกล่าวหาว่ามัลแวร์เหล่านี้พัฒนาได้โดยได้ข้อมูลช่องโหว่จากแอปเปิลที่เป็นผู้ผลิตโทรศัพท์เอง พร้อมกับระบุว่าพบมัลแวร์เหล่านี้ใน iPhone หลายพันเครื่องทั่วโลก ทั้งในโทรศัพท์ประชาชนทั่วไป ยังมีโทรศัพท์ของ นักการทูตและสถานทูตของรัสเซีย, สมาชิก NATO, อดีตสหภาพโซเวียต, อิสราเอล, จีน และอื่นๆ
FSB ระบุว่าแอปเปิลทำงานร่วมกับหน่วยงานข่าวกรองสหรัฐฯ อย่างใกล้ชิด โดยเฉพาะ NSA พร้อมกับกล่าวหาว่าแอปเปิลไม่ได้รักษาความลับลูกค้าตามนโยบายที่ประกาศไว้
ศูนย์ประสานงานรักษาความมั่นคงปลอดภัยทางคอมพิวเตอร์ด้านโทรคมนาคม (TTC-CERT) รายงานการวิเคราะห์มัลแวร์ Bookworm ซึ่งมุ่งเป้าโจมตีองค์กรในประเทศไทยโดยเฉพาะหน่วยงานภาครัฐมาเป็นเวลาเกือบทศวรรษ โดยผู้โจมตี (threat actor) ยังคงมีการปรับปรุงเทคนิคการโจมตีอย่างต่อเนื่อง
มัลแวร์ Bookworm ถูกค้นพบครั้งแรกในปี พ.ศ. 2558 โดยกลุ่มนักวิจัยจากบริษัท Palo Alto Networks ซึ่งระบุว่ามัลแวร์ดังกล่าวมีรูปแบบการทำงานที่ซับซ้อนในลักษณะของ modular architecture และถูกใช้เพื่อบรรลุวัตถุประสงค์ด้านการจารกรรมข้อมูลทางไซเบอร์ (cyber espionage) โดยมีเป้าหมายเจาะจงประเทศไทยโดยเฉพาะ
3CX ผู้ผลิตซอฟต์แวร์ VoIP/PBX ระดับองค์กรถูกแทรกโค้ดมัลแวร์เข้าไปในแอปเวอร์ชั่นเดสก์ทอป ทำให้ลูกค้าจำนวนมากตกอยู่ในความเสี่ยงว่าจะถูกขโมยข้อมูลในองค์กร โดยตั้งแต่ช่วงปลายเดือนมีนาคมที่ผ่านมา ลูกค้า 3CX เริ่มรายงานว่าโปรแกรมป้องกันไวรัสฟ้องว่าโปรแกรม 3CX นั้นเป็นมัลแวร์
ตัวมัลแวร์ซ่อนอยู่ในไฟล์ชื่อว่า ffmpeg.dll เมื่อรันโปรแกรม 3CX แล้วมันจะดาวน์โหลดไฟล์ icon จาก GitHub ที่ข้างในไฟล์ซ่อน URL มัลแวร์จริงๆ เอาไว้ และดาวน์โหลดโค้ดมัลแวร์มารัน
ทาง 3CX ออกเวอร์ชั่นใหม่ที่ถอดโค้ดมัลแวร์ออกไปแล้ว แต่ก็ยังไม่แน่ใจว่าโค้ดใหม่นี้ปลอดภัยจริงไหม โดยกำลังจ้าง Mandiant เข้ามาตรวจสอบความปลอดภัยโค้ด ระหว่างนี้ทางบริษัทแนะนำให้ลูกค้าใช้งานเวอร์ชั่น PWA ไปก่อน
ทีมวิจัยของ ESET รายงานถึงมัลแวร์ BlackLotus ที่มีกลุ่มแฮกเกอร์อ้างกันว่าสามารถใช้มัลแวร์ตัวนี้ฝังไปยังเครื่องของเหยื่อได้แม้เหยื่อจะเปิด Secure Boot เพื่อป้องกันการแก้ไขเคอร์เนลก็ตามที โดยผู้พัฒนาอาศัยช่องโหว่ CVE-2022-21894 ในเคอร์เนลวินโดวส์
ความสามารถในการเจาะทะลุ Secure Boot ทำให้ BlackLotus ฝังอยู่ส่วนลึกที่สุดของซอฟต์แวร์ในเครื่อง และรันในสิทธิ์ระดับสูงมากทำให้แก้ไขเครื่องได้หลายรูปแบบ เช่น ปิดการทำงาน BitLocker และสามารถเพิ่มหรือลดสิทธิ์ของ process ต่างๆ ในเครื่องได้ในกรณีนี้ BlackLotus จะลดสิทธิ์ที่โปรแกรมป้องกันไวรัสจำเป็นต้องใช้งานเพื่อป้องกันไม่ให้ตัวเองถูกตรวจจับได้