Contenido Exclusivo

Utilizan software LoJack para lanzar ciberataques

El equipo ASERT (Arbor Security Engineering and Response Team) de NETSCOUT Arbor descubrió que LoJack – originalmente conocido como CompuTrace–,  el cual es una solución legítima de recuperación de portátiles utilizada por varias compañías para proteger sus activos en caso de que sean robados, contiene dominios de comando y control (C2) maliciosos, probablemente asociados con las operaciones del grupo de hackers rusos Fancy Bear.

Al respecto, Richard Hummel, gerente de Investigación de Amenazas de ASERT, informó que se han observado muestras de LoJack que contienen un C2 malicioso, “el modus operandi es una sustitución muy simple del C2 del servidor LoJack por un servidor administrado y controlado por el atacante. Por lo tanto, en lugar de ingresar al servidor legítimo de LoJack, se esté permitiendo una conexión al servidor de los atacantes que puede ser utilizada como una puerta trasera al sistema”, explicó.

La prueba de concepto en el uso de LoJack como vector de intrusión se remonta a 2014. Su uso continuo sugiere que los atacantes podrían haberlo usado en operaciones de larga duración.

Aunque se desconoce cómo se distribuye el malware en este momento, Fancy Bear a menudo utiliza pishing para su entrega. Estos ciberactores suelen elegir objetivos geopolíticos, como gobiernos y organizaciones internacionales;  también se dirigen a las industrias que hacen negocios con dichas organizaciones, como los contratistas de defensa.

Con respecto a si esta amenaza puede ser aprovechada por los ciberdeliuncuentes para afectar el ambiente electoral que vive México, Richard Hummel, opinó: “Al igual que cualquier puerta trasera, el atacante puede permanecer latente durante un período de tiempo hasta que esté listo para utilizar el acceso. Si llevaron a cabo campañas de phishing antes de una elección y comprometieron con éxito las máquinas de los funcionarios, entonces podrían usar eso para motivaciones políticas. Sin embargo, no tenemos indicaciones de orientación hasta la fecha”.

El software LoJack le da al atacante la capacidad de mantener la persistencia y evitar la detección. Si una compañía usa el software en su organización, no levantará ninguna bandera roja para impedir que alguien instale el agente. Si de alguna manera instalaron un agente que tiene el C2 malicioso, se establecería una puerta trasera en ese sistema, indicó el gerente.

De acuerdo con los investigadores de ASERT, la modificación binaria del “agente pequeño” es trivial. El agente LoJack protege la URL C2 codificada utilizando una clave XOR de un solo byte; sin embargo, según los expertos, confía ciegamente en el contenido de la configuración. Una vez que un atacante modifica correctamente este valor, el agente doble está listo para funcionar. Este no es el único aspecto que hace que LoJack sea un objetivo atractivo; los atacantes también están preocupados por la detección del Anti Virus (AV). Al buscar en VirusTotal, muchos proveedores de antivirus no marcan los ejecutables de LoJack como maliciosos, sino  como “no-virus” o “herramienta de riesgo”.

Con una baja detección del AV, el atacante ahora tiene un ejecutable oculto a la vista, un agente doble. El atacante simplemente necesita pararse en un servidor C2 malicioso que simula los protocolos de comunicación de LoJack. Finalmente, el “pequeño agente” de LoJack permite lecturas y escrituras de memoria que le otorgan funcionalidad de puerta trasera remota.

Lo Más Reciente

La digitalización ofrece mejoras en la gestión de casos en el sector público

Los factores macroeconómicos globales y locales que cambian rápidamente,...

Cómo impulsar el crecimiento de las empresas en la era de la IA

La inteligencia artificial está revolucionando los negocios. Sin embargo,...

Realizan el segundo Foro de Talento en Data Centers

La Asociación Mexicana de Data Centers, MEXDC, realizó el...

Newsletter

Recibe lo último en noticias e información exclusiva.

Mireya Cortés
Mireya Cortés
Editora CIO Ediworld Online. La puedes contactar en mcortes@ediworld.com.mx

La digitalización ofrece mejoras en la gestión de casos en el sector público

Los factores macroeconómicos globales y locales que cambian rápidamente, siguen ejerciendo una presión cada vez mayor sobre el sector público de México. El gobierno...

Cómo impulsar el crecimiento de las empresas en la era de la IA

La inteligencia artificial está revolucionando los negocios. Sin embargo, muy pocos empresarios están adaptando sus empresas a este contexto, para lograr un crecimiento. Para...

Chivas Rayadas del Guadalajara consigue gestionar sus activos de TI de manera más eficiente

El Club Deportivo Guadalajara es uno de los más importantes en México. Con más de 500 colaboradores, requería herramientas para auditar su parque informático,...