Uma equipe de analistas de segurança descobriram uma nova arma perigosa usada por hackers - o rootkit Lojax UEFI que, aparentemente, é o primeiro de seu tipo a ser usado contra usuários. As informações coletadas sobre ele mostram que ele é executado pelo grupo de hackers Sednit contra alvos de alto perfil na Europa.
O Rootkit Lojax UEFI usado contra alvos na Europa
Outra arma perigosa usada por criminosos foi descoberta em um ataque em andamento. O grupo por trás disso é o Sednit coletivo de hackers que iniciaram uma campanha contra empresas e indivíduos na Europa Central e Oriental. A carga útil principal é chamada Lojax (alternativamente conhecido como LoJack) que é um rootkit UEFI, um dos tipos mais perigosos de malware.
Por definição, este é um código malicioso que infecta o código UEFI usado para controlar as operações de inicialização. Eles são muito difíceis de detectar e prevenir, um efeito perigoso disso é o fato de que muitos deles podem resistir a reinstalações do sistema operacional e até mesmo à substituição do disco físico.
Parece que uma das origens da ameaça é uma amostra trojanizada do Lojack, um software anti-roubo desenvolvido por um desenvolvedor legítimo. Ele é projetado para monitorar os computadores host e notificar sobre quaisquer incidentes. É implementado como um módulo UEFI / BIOS e a solução vem pré-instalada no firmware de muitos computadores aguardando ativação manual do usuário.
As amostras maliciosas do rootkit Lojax UEFI foram detectadas pela primeira vez em maio 2018 que se comunicou com um servidor malicioso em vez do legítimo. A campanha inicial visou principalmente os Balcãs, Europa Oriental e países da Europa Central. Neste ponto, descobriu-se que os hackers criaram um cavalo de Tróia derivado da solução legítima.
Uma investigação mais aprofundada sobre o assunto revelou que vários componentes fazem parte da infecção:
- SedUploader - Uma porta dos fundos de primeiro estágio que é responsável pela infecção.
- XAgent - Este é o código backdoor principal que é o principal mecanismo malicioso.
- Xtunnel - Um túnel de rede que é capaz de retransmitir o tráfego de rede entre o C&Servidor C e o host infectado.
Na prática, o rootkit Lojax UEFI permite aos hackers acesso de baixo nível aos computadores comprometidos, o que é uma vulnerabilidade crítica. As infecções com esta ameaça podem permitir que ele entregue e execute malware antes que o sistema operacional seja inicializado e os procedimentos de segurança sejam iniciados.
Os usuários podem se prevenir ativando a opção de inicialização segura. Quando está habilitado, cada parte do componente do firmware dos processos de inicialização precisa ser assinada e verificada. Esta é a defesa básica recomendada contra possíveis infecções de rootkit Lojax UEFI. Os usuários também são aconselhados a monitorar e aplicar os patches mais recentes dos fornecedores de placas-mãe.
Martin Beltov
Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.
Me siga: