3 de octubre de 2018

LOJAX. Primer rootkit a nivel de UEFI

LoJax es el nombre que en ESET le han dado al malware de reciente descubrimiento con capacidades de rootkit y con persistencia en UEFI.
 La compañía de seguridad ESET ha descubierto un nuevo malware creado por el grupo de ciberdelincuentes rusos Fanci Bear, cuyo presunto objetivo de infección son los gobiernos de Europa Central y del Este.
Computrace Lojack es un software que viene preinstalado en la UEFI del 60% de los portátiles. Su peculiaridad es que realiza una llamada periódicamente a una autoridad central pidiendo instrucciones en caso de que se robe el dispositivo, permitiendo a dicha autoridad la exploración del sistema, limpieza, geolocalización, etc.
Fanci Bear aprovecha una vulnerabilidad de Lojack para instalar el malware y tomar el control del equipo a partir de la UEFI. Por lo que este malware no te roba de forma activa, sino que deja una puerta abierta a tu sistema para que los malos entren y controlen tu ordenador.
La característica y preocupación de este rootkit es localizarlo y eliminarlo. Pocos son los antivirus capaces de detectarlo, y para eliminarlo no nos servirá simplemente con limpiar los archivos del sistema operativo, porque al reiniciar, el código malicioso será descargado de nuevo desde la UEFI. Para limpiar la amenaza será necesario reinstalar el firmware de la UEFI o en el peor de los casos cambiar de placa base.
Este malware abre la veda sobre el análisis del firmware por parte de los motores antivirus, características que actualmente pocos motores ofrecen.
Más información:
Comunicado de ESET:
Fuente: Hispasec