Un equipo de analistas de seguridad descubrió una nueva arma peligrosa utilizado por los piratas informáticos - el rootkit Lojax UEFI que aparentemente es el primero de su clase para ser utilizado contra los usuarios. La información recogida sobre ello demuestra que es ejecutado por el grupo de hackers Sednit contra objetivos de alto perfil en Europa.
El Rootkit Lojax UEFI Se utiliza contra objetivos en Europa
Otra arma peligrosa utilizado por los delincuentes se ha descubierto en un ataque en curso. El grupo detrás de esto es el Sednit colectiva de hackers que han iniciado una campaña contra empresas y particulares en Europa central y oriental. La carga útil principal se llama Lojax (alternativamente conocido como LoJack) que es un rootkit UEFI, uno de los más peligrosos tipos de malware.
Por definición, este es un código malicioso que infecta el código UEFI utilizado para controlar las operaciones de arranque-up. Son muy difíciles de detectar y prevenir, un efecto peligroso de esto es el hecho de que muchos de ellos pueden soportar reinstalaciones del sistema operativo e incluso el reemplazo de disco físico.
Parece ser que uno de los orígenes de la amenaza es una muestra troyanizado de LoJack, un software anti-robo desarrollado por un desarrollador legítima. Está diseñado para controlar los equipos host y notificar las incidencias. Se implementa como un módulo de UEFI / BIOS y la solución viene pre-instalado en el firmware de muchos ordenadores a la espera de la activación manual del usuario.
Las muestras maliciosas del rootkit Lojax UEFI se detectaron primera vez en mayo 2018 que comunica con un servidor malicioso en lugar de la legítima. La campaña inicial dirigido principalmente a los Balcanes, Europa del Este y los países de Europa central. En este punto se encontró que los piratas informáticos de haber hecho un derivado de Troya de la solución legítima.
Más investigación sobre el asunto reveló que varios componentes son parte de la infección:
- SedUploader - Una puerta trasera de la primera etapa, que es responsable de la infección.
- XAgent - Este es el código de puerta trasera principal que es el principal motor malicioso.
- Xtunnel - Un túnel de red que es capaz de transmitir el tráfico de red entre el C&servidor de C y el huésped infectado.
En la práctica, el rootkit Lojax UEFI permite el acceso a los piratas informáticos de bajo nivel para las computadoras comprometidas que es una vulnerabilidad crítica. Las infecciones con esta amenaza puede permitir que se entregue y ejecutar programas maliciosos antes de que el sistema operativo se inicie y se inician los procedimientos de seguridad.
Los usuarios pueden evitar que ellos mismos activando la opción de arranque seguro. Cuando se habilita cada parte componente del firmware de los procesos de arranque necesita firmado y confirmado. Esta es la defensa de la base recomendada frente a posibles infecciones de rootkit Lojax UEFI. También se recomienda a los usuarios monitorear y aplicar los últimos parches de los fabricantes de placas base.
Martin Beltov
Martin se graduó con un título en Edición de la Universidad de Sofía. Como un entusiasta de la seguridad cibernética que le gusta escribir sobre las últimas amenazas y mecanismos de intrusión.
Sígueme: