A S21sec, empresa de serviços e tecnologia de cibersegurança, pertencente ao grupo português Sonae IM, acaba de lançar um alerta sobre o malware LoJax, que tem a capacidade de sobreviver à reinstalação do sistema operativo e à subsequente substituição do disco rígido, características que o tornam especialmente perigoso para empresas e instituições que não têm protecção contra este tipo de ataques.
Este malware actua como um rootkit, ou seja, um programa ou conjunto de ferramentas que fornece acesso aos níveis administrativos de um computador ou rede enquanto permanece oculto, e funciona reescrevendo o código que controla o processo de iniciação, antes de carregar o sistema operativo. Cada vez que é reiniciado, o chip pirateado verifica se o malware ainda está presente no disco rígido e, caso não esteja, reinstala-o.
O LoJack, um software que vem pré-instalado no UEFI (Unified Extensible Firmware Interface) de muitos computadores e que é conhecido como Computrace, é caracterizado pela sua persistência incomum, já que a sua função é proteger o hardware de um sistema contra roubo e, por isso a importância de resistir à reinstalação do sistema operativo ou à substituição do disco rígido. Assim, o LoJax aproveita esta vulnerabilidade no Computrace LoJack e atua como um Módulo UEFI / BIOS pré-instalado.
Segundo a S21sec, o malware foi desenvolvido pelo grupo FancyBear, também conhecido por nomes como APT28, Sofacy, entre outros. É uma organização que funciona desde 2004 e que tem como principal objetivo o roubo de informações confidenciais específicas. Um dos seus métodos de ataque mais utilizados é o envio de e-mails de spearphishing, com o objetivo de roubar credenciais das contas de e-mail. Recorrem ainda à criação de páginas de login falsas para atrair alvos e assim inserir as suas credenciais nos sites ilegítimos.
