El malware LoJax continúa funcionando 8 meses después del descubrimiento

Malware ransomware virus

La sabiduría convencional con el malware es que puede eliminarlo de una vez por todas borrando un sistema y comenzando desde cero. Sin embargo, una pieza de software de vigilancia particularmente inteligente vinculada al gobierno ruso parece mucho más resistente. Incluso reemplazar las unidades no matará a LoJax, que parece seguir funcionando más de ocho meses después de que los investigadores de Arbor Networks detallaran el malware.

Por lo general, el malware se vuelve de poca utilidad una vez que los expertos en seguridad lo descubren. Sin embargo, LoJax es casi invulnerable. Es común que una pieza de software malicioso incluya componentes de una o más variantes de malware anteriores. Sin embargo, LoJax tiene un origen único que lo hace increíblemente difícil de combatir.

Detectado por primera vez en 2018, LoJax es una versión modificada del software antirrobo comercial LoJack desarrollado por Absolute Software. Específicamente, Lojax usa una versión de 2008 cuando el software se conocía como Computrace. Se trata de un software legítimo que se integra con el firmware UEFI de una computadora para ayudar al propietario a recuperarlo en caso de que lo roben. Incluso si un ladrón cambia un nuevo disco duro, el software se reafirma desde el firmware de la placa base. Eso es genial si desea recuperar su computadora portátil, pero también es perfecto para una operación de piratería sofisticada.



El informe original de Arbor Networks sobre LoJax señaló con el dedo a Fancy Bear, un grupo de piratería vinculado a la inteligencia militar rusa (GRU). Fancy Bear también estuvo implicado en el exploit de firmware que golpeó los enrutadores el año pasado. Lojax usa la mayoría de los componentes de LoJack, pero se conecta a servidores de comando y control operados por Fancy Bear. Los atacantes pueden usar la herramienta para monitorear la computadora con poco riesgo de detección.

Cómo funciona LoJax, cortesía de Eset.

Arbor Networks ha analizado nuevas muestras del troyano LoJax que indican que aún está activo. De hecho, se utilizan algunos de los mismos servidores de comando y control. Esto indica que los esfuerzos para combatir el malware han fracasado en gran medida. Debido a la naturaleza de LoJax, solo los usuarios sofisticados sabrán que han sido infectados.

El informe también detalla varios dominios conectados a direcciones IP previamente conocidas utilizadas por el malware. Tanto ntpstatistics (.) Com como unigymboom (.) Com apuntan a controlar los servidores que se conectan a las computadoras infectadas. Más de una docena más de direcciones IP y dominios también parecen estar esperando entre bastidores.

La única forma de purgar el malware es limpiar el disco duro y actualizar el firmware de la placa base. Aunque, probablemente sea más seguro desechar el hardware. Los hackers patrocinados por el estado probablemente tengan muchos más trucos desagradables bajo la manga.

Copyright © Todos Los Derechos Reservados | 2007es.com