Lojack podría estar involucrado en ciberataques

Lojack utilizado como una solución legítima de recuperación de portátiles utilizada por varias compañías para proteger sus activos en caso de que sean robados, contiene dominios de comando y control (C2) maliciosos, probablemente asociados con las operaciones del grupo de hackers rusos Fancy Bear, advirtió el equipo ASERT (Arbor Security Engineering and Response Team) de NETSCOUT.

LEE: EVITA SER VÍCTIMA DEL “VISHING” Y EL “PHISHING”

Richard Hummel, gerente de Investigación de Amenazas de ASERT, informó que observaron muestras de este dispositivo que contienen un C2 malicioso, “el modus operandi es una sustitución muy simple del C2 del servidor Lojack por un servidor administrado y controlado por el atacante. Por lo tanto, en lugar de ingresar al servidor legítimo de Lojack, se esta permitiendo una conexión al servidor de los atacantes que puede ser utilizada como una puerta trasera al sistema”, explicó.

El software le da al atacante la capacidad de mantener la persistencia y evitar la detección. Si una compañía usa el software en su organización, no levantará ninguna bandera roja para impedir que alguien instale el agente. Si de alguna manera instalaron un agente que tiene el C2 malicioso se establecería una puerta trasera en ese sistema, indicó el gerente.

De acuerdo con los investigadores de ASERT, la modificación binaria del "agente pequeño" es trivial. El agente Lojack protege la URL C2 codificada utilizando una clave XOR de un solo byte; sin embargo, según los expertos, confía ciegamente en el contenido de la configuración.

Una vez que un atacante modifica correctamente este valor, el agente doble está listo para funcionar. Este no es el único aspecto que hace que Lojack sea un objetivo atractivo; los atacantes también están preocupados por la detección del Anti Virus (AV). Al buscar en VirusTotal, muchos proveedores de antivirus no marcan los ejecutables de Lojack como maliciosos, sino como "no-virus" o "herramienta de riesgo".