jueves, 22 de noviembre de 2018

LoJax, el nuevo rootkit UEFI

Si por alguna razón se ha infectado nuestro sistema con un malware, lo más habitual suele ser formatear el ordenador. Por otro lado, los hackers buscan constantemente nuevas formas que les permitan, además de ser casi indetectables, mantener un equipo infectado incluso después de formatear. Así nacieron los rootkits UEFI, un tipo de malware que infecta la UEFI, en lugar de infectar el sistema operativo. Ya que los antivirus no suelen analizar la UEFI de los equipos, este malware pasa totalmente desapercibido y son capaces de resistir un formateo y un cambio de disco.


Recientemente han encontrado un nuevo rootkit UEFI llamado LoJax, que está infectando ordenadores por todo el mundo. Ha sido desarrollado por el grupo de piratas informáticos APT28, que ya tienen una gran 'fama' siendo responsables de varios ataques a grandes empresas.

Fue detectado por primera vez el pasado mes de Mayo. Este malware ha tomado ya varias víctimas por toda Europa y aún no se sabe exactamente cómo se distribuye a través de Internet. El rootkit cuenta con una serie de archivos binarios que son capaces de recopilar información sobre su hardware, volcar la UEFI, parchearla para ocultar el malware y volver a escribir en ella. Por ese motivo podemos decir que los equipos infectados están a total merced de APT28.

La mejor forma para protegerse frente a este malware es activar el Secure Boot. De esta manera evitaremos que el malware consiga escribir en la propia UEFI. Deberemos de asegurarnos que estamos utilizando la última versión de la BIOS/UEFI para nuestra placa base. En el caso de estar ya infectado por LoJax, la única manera de desinfectarnos es borrar por completo la BIOS/UEFI y volver a flashearla de nuevo, o cambiar de placa base.

No hay comentarios:

Publicar un comentario