S21sec alerta sobre el malware Lojax

noviembre 13, 2018 Desactivado Por Jeannet Alvarado

 S21sec, compañía española de seguridad digital, lanzó una alerta acerca del malware Lojax, el cual es capaz de sobrevivir a la reinstalación del sistema operativo y al consiguiente reemplazo del disco duro. El malware funciona reescribiendo el código que controla el proceso de arranque, antes de cargar el sistema operativo. Cada vez que se reinicia, el chip pirateado comprueba que el malware sigue presente en el disco duro, y si falta, lo vuelve a reinstalar.

El precedente de LoJack, conocido como Computrace, se caracterizaba por su persistencia inusual, dado que su función era la de proteger el hardware de un sistema contra el robo y, de ahí, la importancia de resistir la reinstalación del sistema operativo o el reemplazo del disco duro. Es por ello que actúa como un UEFI/Módulo BIOS preinstalado.

Este malware se puede rastrear a un mismo grupo conocido por distintos apelativos, como APT28, FancyBear y Sofacy, entre otros.  Dicha organización ha operado desde 2004 y su principal objetivo es el robo de información confidencial de objetivos específicos.

De acuerdo con la información de S21sec los casos más destacables que se atribuyen a la actuación de este grupo han sido, entre otros:

  • El Comité Nacional Demócrata Americano, en mayo de 2016
  • La red de televisión francesa TV5Monde, en abril de 2015
  • El Departamento de Justicia de los Estados Unidos
  • El Parlamento alemán
  • La Agencia Mundial Antidopaje (AMA)
  • Las embajadas de Argelia, Brasil, Colombia, Djibouti, India, Irak, Corea del Norte, Kirguistán, Líbano, Myanmar, Pakistán, Sudáfrica, Turkmenistán, Emiratos Árabes Unidos, Uzbekistán y Zambia
  • Ministerios de Defensa en Argentina, Bangladesh, Corea del Sur, Turquía y Ucrania
  • Periodistas ubicados en Europa del Este

Métodos de ataque
Uno de los métodos de ataque más frecuentemente empleados por este grupo es el envío de correos de spearphishing, con el objetivo de robar credenciales de las cuentas de correo.

Para conseguir su objetivo el grupo crea páginas de inicio de sesión falsas y atraen a los objetivos para que ingresen sus credenciales en los sitios ilegítimos.

Recomendaciones
Es necesario habilitar el mecanismo de arranque seguro que fungirá como la defensa básica contra ataques dirigidos hacia el firmware UEFI.
También se recomienda actualizar el firmware del sistema y asegurarse que está utilizando el último UEFI /BIOS disponible para su placa base.
En caso de infección la memoria flash SPI debe ser recargada con una imagen de firmware limpia para eliminar el rootkit; sin embargo, la única alternativa para asegurar que el malware no persista es reemplazar la placa base del sistema comprometido por completo.

12

Categoría1 portada TECNOLOGÍA
Etiquetasmalware seguridad tecnología

Sobre el autor

Lic. en Periodismo y Comunicación Colectiva de la FES Acatlán. Gusto por la información de nuevos gadgets, tecnología, autos y Management.