A S21sec, empresa líder em serviços e tecnologia de cibersegurança, pertencente ao grupo português Sonae IM, acaba de lançar um alerta sobre o malware LoJax, que tem a capacidade de sobreviver à reinstalação do sistema operativo e à subsequente substituição do disco rígido, características que o tornam especialmente perigoso para empresas e instituições que não têm proteção contra este tipo de ataques. 

Este malware atua como um rootkit, ou seja, um programa ou conjunto de ferramentas que fornece acesso aos níveis administrativos de um computador ou da rede enquanto permanece oculto, e funciona reescrevendo o código que controla o processo de iniciação, antes de carregar o sistema operativo. Cada vez que é reiniciado, o chip pirateado verifica se o malware ainda está presente no disco rígido e, caso não esteja, reinstala-o.

O LoJack, um software que vem pré-instalado no UEFI (Unified Extensible Firmware Interface) de muitos computadores e que é conhecido como Computrace, é caracterizado pela sua persistência incomum, já que a sua função é proteger o hardware de um sistema contra roubo e, por isso a importância de resistir à reinstalação do sistema operativo ou à substituição do disco rígido. Assim, o LoJax aproveita esta vulnerabilidade no Computrace LoJack e atua como um Módulo UEFI / BIOS pré-instalado.

Este malware foi desenvolvido pelo grupo FancyBear, também conhecido por nomes como APT28, Sofacy, entre outros. É uma organização que funciona desde 2004 e que tem como principal objetivo o roubo de informações confidenciais específicas. Um dos seus métodos de ataque mais utilizados é o envio de e-mails de spearphishing, com o objetivo de roubar credenciais das contas de e-mail. Recorrem ainda à criação de páginas de login falsas para atrair alvos e assim inserir as suas credenciais nos sites ilegítimos.

Entre os casos mais notáveis que são atribuídos ao desempenho deste grupo encontram-se várias embaixadas e ministérios, o Departamento de Justiça dos Estados Unidos, o parlamento alemão, jornalistas localizados na Europa Oriental, entre muitas outras instituições e organizações localizadas em diferentes partes do mundo.

Para evitar o ataque do malware LoJax é necessário ativar o mecanismo de iniciação segura, que servirá como defesa básica contra ataques direcionados ao firmware UEFI. Além disso, é recomendável a atualização do firmware do sistema e também verificar se a versão mais recente do UEFI/BIOS está a ser utilizada na motherboard.

Em caso de infecção, a memória flash SPI deve ser recarregada com uma imagem de firmware limpa para remover o rootkit. No entanto, a única alternativa para garantir que o malware não persista é substituir completamente a motherboard do sistema comprometido.

Classifique este item
(0 votos)
Ler 580 vezes
Tagged em

Sobre nós

Nascida em 2002, a Wintech é uma pagina web que reúne informações sobre tecnologia. Apresenta regularmente guias, análises, reportagens e artigos especiais de tudo o que rodeia o mundo tecnológico. Saiba mais.

Wintech TV

Newsletter

Receba as notícias no seu e-mail

Top