Seguridad

Lojax, riesgo de espionaje a personas de alto perfil

S21sec lanzó una alerta acerca del malware Lojax, capaz de sobrevivir a la reinstalación del sistema operativo y al reemplazo del disco duro. El malware funciona reescribiendo el código que controla el proceso de arranque, antes de cargar el sistema operativo. Cada vez que se reinicia, el chip pirateado comprueba que el malware sigue presente en el disco duro, y si falta, lo vuelve a reinstalar, explicó.

El precedente de LoJack, conocido como Computrace, se caracterizaba por su persistencia inusual, dado que su función era la de proteger el hardware de un sistema contra el robo y, de ahí, la importancia de resistir la reinstalación del sistema operativo o el reemplazo del disco duro. Es por ello que actúa como un UEFI/Módulo BIOS preinstalado, abundó la firma.

Asimismo señaló que este malware se puede rastrear a un mismo grupo conocido por distintos apelativos, como APT28, FancyBear y Sofacy, entre otros.  Dicha organización ha operado desde 2004 y su principal objetivo es el robo de información confidencial de objetivos específicos. Algunos casos atribuibles a este grupo han sido, entre otros:

–El Comité Nacional Demócrata Americano, en mayo de 2016

–La red de televisión francesa TV5Monde, en abril de 2015

–El Departamento de Justicia de los Estados Unidos

–El Parlamento alemán

–Las embajadas de Argelia, Brasil, Colombia, Djibouti, India, Irak, Corea del Norte, Kirguistán, Líbano, Myanmar, Pakistán, Sudáfrica, Turkmenistán, Emiratos Árabes Unidos, Uzbekistán y Zambia

Métodos de ataque

Según S21sec, el más frecuente es el envío de correos de spearphishing, con el objetivo de robar credenciales de las cuentas de correo. Crean páginas de inicio de sesión falsas y atraen a los objetivos para que ingresen sus credenciales en los sitios ilegítimos.

Recomendaciones

Es necesario habilitar el mecanismo de arranque seguro que fungirá como la defensa básica contra ataques dirigidos hacia el firmware UEFI, recomendó la compañía. También recomendó actualizar el firmware del sistema y asegurarse que está utilizando el último UEFI /BIOS disponible para su placa base.

En caso de infección la memoria flash SPI debe ser recargada con una imagen de firmware limpia para eliminar el rootkit; sin embargo, la única alternativa para asegurar que el malware no persista es reemplazar la placa base del sistema comprometido por completo, resaltó la firma en seguridad.

[email protected]

Publicaciones relacionadas

Botón volver arriba
Share via
Copy link
Powered by Social Snap