Вредоносное ПО LoJax продолжает работать через 8 месяцев после обнаружения

Вредоносное ПО LoJax продолжает работать через 8 месяцев после обнаружения

Общепринятое мнение о вредоносном ПО заключается в том, что вы можете уничтожить его раз и навсегда, очистив систему и начав с нуля. Тем не менее, особенно умное программное обеспечение для наблюдения, связанное с российским правительством, кажется гораздо более устойчивым. Даже замена дисков не убьет LoJax, который, по-видимому, продолжает работать более восьми месяцев после того, как исследователи из Arbor Networks рассказали о вредоносном ПО.

Обычно вредоносные программы становятся бесполезными, когда эксперты по безопасности обнаруживают их. LoJax почти неуязвим. Обычно в одну часть вредоносного программного обеспечения входят компоненты одного или нескольких прошлых вариантов вредоносных программ. Тем не менее, LoJax имеет уникальное происхождение, что делает его невероятно сложным в бою.

Впервые обнаруженная в 2018 году, LoJax является модифицированной версией коммерческого программного обеспечения LoJack для защиты от краж, разработанного Absolute Software. В частности, Lojax использует выпуск 2008 года, когда программное обеспечение было известно как Computrace. Это законное программное обеспечение, которое интегрируется с прошивкой UEFI компьютера, чтобы помочь владельцу восстановить его в случае кражи. Даже если вор подключается к новому жесткому диску, программное обеспечение восстанавливается после прошивки материнской платы. Это замечательно, если вы хотите вернуть свой ноутбук, но он также идеально подходит для сложной операции взлома.

Оригинальный отчет Arbor Networks о LoJax указывал на Fancy Bear, хакерскую группу, связанную с российской военной разведкой (ГРУ). Fancy Bear также был замешан в эксплойте прошивки, поразившем маршрутизаторы в прошлом году. Lojax использует большинство компонентов LoJack, но подключается к командно-контрольным серверам, управляемым Fancy Bear. Злоумышленники могут использовать инструмент для мониторинга компьютера с небольшим риском обнаружения.

Как работает LoJax, любезно предоставлено Eset.
Как работает LoJax, любезно предоставлено Eset.

Arbor Networks проанализировала новые образцы трояна LoJax, которые указывают, что он все еще активен. Фактически, используются одни и те же серверы управления и контроля. Это указывает на то, что усилия по борьбе с вредоносным ПО в основном потерпели неудачу. Из-за природы LoJax, только искушенные пользователи будут знать, что они были заражены.

В отчете также подробно описаны несколько доменов, подключенных к ранее известным IP-адресам, используемым вредоносной программой. И ntpstatistics [.] Com, и unigymboom [.] Com указывают на управляющие серверы, которые подключаются к зараженным компьютерам. Более десятка IP-адресов и доменов тоже ждут своего часа.

Единственный способ удалить вредоносное ПО - это стереть жесткий диск и перепрошить прошивку материнской платы. Хотя, вероятно, безопаснее просто выбросить оборудование. У спонсируемых государством хакеров, вероятно, есть еще много мерзостей в рукавах.

Читать далее

Умные вредоносные программы Masquerades как установщик Windows 11
Умные вредоносные программы Masquerades как установщик Windows 11

Русский веб-сайт, замаскированный в качестве официальной страницы Microsoft, распределяет «установщик обновления», который не приведет вас к Windows 11. Что вы получите вам кучу вредоносных программ.

Google борется с вредоносным программным обеспечением с новыми хромированными значками
Google борется с вредоносным программным обеспечением с новыми хромированными значками

Некоторые считают, что значки были введены, чтобы помочь бороться с давней проблемой, в которой плохие актеры покупали существующие расширения, а затем превратили их в рекламное обеспечение.

Исследователи разрабатывают вредоносное ПО, которое работает, когда iPhone отключается
Исследователи разрабатывают вредоносное ПО, которое работает, когда iPhone отключается

Режим низкой мощности iPhone позволяет пользователям получать доступ к картам Express и найти утерянные устройства, даже когда телефон выключен, но он также представляет собой уязвимость безопасности.

Google предупреждает о сложной вредоносной программе, распределенной с помощью интернет -провайдеров
Google предупреждает о сложной вредоносной программе, распределенной с помощью интернет -провайдеров

Согласно группе анализа угроз Google (TAG), эта шпионская программа была разработана итальянской компанией под названием RCS Labs. Фирма утверждает, что находится на правой стороне закона, но это не меняет того факта, что его программное обеспечение используется для нарушения конфиденциальности пользователей.