A S21sec lançou um alerta sobre o malware LoJax, que tem a capacidade de sobreviver à reinstalação do sistema operativo e à subsequente substituição do disco rígido, características que o tornam especialmente perigoso para empresas e instituições que não têm protecção contra este tipo de ataques.
O LoJack, um software que vem pré-instalado no UEFI (Unified Extensible Firmware Interface) de muitos computadores e que é conhecido como Computrace, é caracterizado pela sua persistência incomum, já que a sua função é proteger o hardware de um sistema contra roubo e, por isso a importância de resistir à reinstalação do sistema operativo ou à substituição do disco rígido. Assim, o LoJax aproveita esta vulnerabilidade no Computrace LoJack e actua como um Módulo UEFI / BIOS pré-instalado.
Este malware foi desenvolvido pelo grupo FancyBear, também conhecido por nomes como APT28, Sofacy, entre outros. É uma organização que funciona desde 2004 e que tem como principal objectivo o roubo de informações confidenciais específicas.
Um dos seus métodos de ataque mais utilizados é o envio de emails de spearphishing, com o objectivo de roubar credenciais das contas de email. Recorrem ainda à criação de páginas de login falsas para atrair alvos e assim inserir as suas credenciais nos websites ilegítimos.
Para evitar o ataque do malware LoJax é necessário activar o mecanismo de iniciação segura, que servirá como defesa básica contra ataques direccionados ao firmware UEFI.
Além disso, é recomendável a actualização do firmware do sistema e também verificar se a versão mais recente do UEFI/BIOS está a ser utilizada na motherboard.
Em caso de infecção, a memória flash SPI deve ser recarregada com uma imagem de firmware limpa para remover o rootkit. No entanto, a única alternativa para garantir que o malware não persista é substituir completamente a motherboard do sistema comprometido.
Via S21sec.
