LoJax es el nombre que en ESET le han
dado al malware de reciente descubrimiento con capacidades de rootkit y con
persistencia en UEFI.
La compañía de seguridad ESET ha descubierto
un nuevo malware creado por el grupo de ciberdelincuentes rusos Fanci Bear,
cuyo presunto objetivo de infección son los gobiernos de Europa Central y del
Este.
Computrace Lojack es un software que
viene preinstalado en la UEFI del 60% de los portátiles. Su peculiaridad es que
realiza una llamada periódicamente a una autoridad central pidiendo
instrucciones en caso de que se robe el dispositivo, permitiendo a dicha
autoridad la exploración del sistema, limpieza, geolocalización, etc.
Fanci Bear aprovecha una
vulnerabilidad de Lojack para instalar el malware y tomar el control del equipo
a partir de la UEFI. Por lo que este malware no te roba de forma activa, sino
que deja una puerta abierta a tu sistema para que los malos entren y controlen
tu ordenador.
La característica y preocupación de
este rootkit es localizarlo y eliminarlo. Pocos son los antivirus capaces de
detectarlo, y para eliminarlo no nos servirá simplemente con limpiar los
archivos del sistema operativo, porque al reiniciar, el código malicioso será
descargado de nuevo desde la UEFI. Para limpiar la amenaza será necesario
reinstalar el firmware de la UEFI o en el peor de los casos cambiar de placa
base.
Este malware abre la veda sobre el
análisis del firmware por parte de los motores antivirus, características que
actualmente pocos motores ofrecen.
Más
información:
Comunicado de ESET:
Fuente: Hispasec