El software Lojack, utilizado para proteger información en caso de que sea robada, está siendo utilizado para fines maliciosos, con dominios de comando y control (C2) dañinos que permiten una conexión al servidor de los atacantes que puede ser manejada como una puerta trasera al sistema.
El gerente de Investigación de Amenazas de Asert, Richard Hummel, señaló que se desconoce cómo se distribuye el malware en este momento, probablemente asociado con las operaciones del grupo de hackers rusos, Fancy Bear, que a menudo utiliza pishing para su entrega.
Estos atacantes suelen elegir objetivos geopolíticos como gobiernos y organizaciones internacionales, y también se dirigen a las industrias que hacen negocios con dichas organizaciones, como los contratistas de defensa, añadió Hummel.
“Al igual que cualquier puerta trasera, el atacante puede permanecer latente durante un periodo de tiempo hasta que esté listo para utilizar el acceso”, manifestó.
Explicó que si se llevaron a cabo campañas de phishing antes de una elección y comprometieron con éxito las máquinas de los funcionarios, entonces podrían usar eso para motivaciones políticas; "sin embargo, no tenemos indicaciones de orientación hasta la fecha”.
De acuerdo con los investigadores de Asert, el agente Lojack protege la URL C2 codificada utilizando una clave XOR de un solo byte, aunque según los expertos, confía ciegamente en el contenido de la configuración.
Una vez que un atacante modifica correctamente este valor, el agente doble está listo para funcionar. Este no es el único aspecto que hace que Lojack sea un objetivo atractivo: los atacantes también están preocupados por la detección del Antivirus (AV).
Richard Hummel aclaró que al buscar en VirusTotal, muchos proveedores de antivirus no marcan los ejecutables de Lojack como maliciosos, sino como "no-virus" o "herramienta de riesgo".
"Con una baja detección del AV, el atacante ahora tiene un ejecutable oculto a la vista, un agente doble. El atacante simplemente necesita pararse en un servidor C2 malicioso que simula los protocolos de comunicación de Lojack", dijo.
El especialista puntualizó que el "pequeño agente" de Lojack permite lecturas y escrituras de memoria que le otorgan funcionalidad de puerta trasera remota.