El equipo ASERT (Arbor Security Engineering and Response Team) de Netscout Arbor descubrió que Lojack, originalmente conocido como Computrace, el cual es una solución de recuperación de portátiles utilizada para proteger los activos en caso de que sean robados, contiene dominios de comando y control (C2) maliciosos, probablemente asociados con las operaciones del grupo de hackers rusos Fancy Bear.
Seguridad

Utilizan software Lojack para lanzar ciberataques: ASERT

Redacción04/05/2018
2 minutos de lectura

El equipo ASERT (Arbor Security Engineering and Response Team) de Netscout Arbor descubrió que Lojack, originalmente conocido como Computrace, el cual es una solución de recuperación de portátiles utilizada para proteger los activos en caso de que sean robados, contiene dominios de comando y control (C2) maliciosos, probablemente asociados con las operaciones del grupo de hackers rusos Fancy Bear.

Richard Hummel, gerente de Investigación de Amenazas de ASERT, informó que se han observado muestras de Lojack que contienen un C2 malicioso, “el modus operandi es una sustitución muy simple del C2 del servidor Lojack por un servidor administrado y controlado por el atacante. Por lo tanto, en lugar de ingresar al servidor legítimo de Lojack, se esta permitiendo una conexión al servidor de los atacantes que puede ser utilizada como una puerta trasera al sistema”, explicó.

La prueba de concepto en el uso de Lojack como vector de intrusión se remonta a 2014, su uso continuo sugiere que los atacantes podrían haberlo usado en operaciones de larga duración. Aunque se desconoce cómo se distribuye el malware en este momento, Fancy Bear a menudo utiliza pishing para su entrega. Estos ciberactores suelen elegir objetivos geopolíticos, como gobiernos y organizaciones internacionales;  también se dirigen a las industrias que hacen negocios con dichas organizaciones, como los contratistas de defensa, abundó la empresa en seguridad.

De acuerdo con los investigadores de ASERT, la modificación binaria del «agente pequeño» es trivial. El agente Lojack protege la URL C2 codificada utilizando una clave XOR de un solo byte; sin embargo, según los expertos, confía ciegamente en el contenido de la configuración. Una vez que un atacante modifica correctamente este valor, el agente doble está listo para funcionar. Este no es el único aspecto que hace que Lojack sea un objetivo atractivo; los atacantes también están preocupados por la detección del Anti Virus (AV). Al buscar en VirusTotal, muchos proveedores de antivirus no marcan los ejecutables de Lojack como maliciosos, sino  como «no-virus» o «herramienta de riesgo».

Con una baja detección del AV, el atacante ahora tiene un ejecutable oculto a la vista, un agente doble. El atacante simplemente necesita pararse en un servidor C2 malicioso que simula los protocolos de comunicación de Lojack. Finalmente, el «pequeño agente» de Lojack permite lecturas y escrituras de memoria que le otorgan funcionalidad de puerta trasera remota, puntualizó la firma.

 

[email protected]

Etiquetas
Redacción04/05/2018
2 minutos de lectura

Publicaciones relacionadas

Ataques DDoS aumentan un 50% en el primer trimestre de 2024

23/04/2024

Radiografía de la ciberseguridad en AL: humanos el eslabón más débil

22/04/2024

Los ciberataques cierran 1 de cada 4 operaciones industriales

09/04/2024

Hacia una ciberseguridad unificada en entornos OT: Perspectivas del LATAM OT Security Summit de Fortinet

09/04/2024
Botón volver arriba


Share via
Facebook
X (Twitter)
LinkedIn
Mix
Email
Print
Copy Link
Powered by Social Snap
Copy link
CopyCopied
Powered by Social Snap