Зловмисне програмне забезпечення LoJax продовжує працювати 8 місяців після відкриття

Зловмисне програмне забезпечення LoJax продовжує працювати 8 місяців після відкриття

Загальноприйнята думка про зловмисне програмне забезпечення полягає в тому, що ви можете вбити його раз і назавжди, витираючи систему і починаючи з нуля. Проте, особливо розумне програмне забезпечення нагляду, прив'язане до російського уряду, виявляється набагато більш стійким. Навіть заміна дисків не знищить LoJax, який, як видається, продовжує працювати більше восьми місяців після того, як дослідники Arbor Networks детально описали шкідливе програмне забезпечення.

Як правило, зловмисне програмне забезпечення стає мало корисним, коли експерти з безпеки виявляють його. Хоча LoJax майже невразливий. Зазвичай один шматок шкідливого програмного забезпечення включає компоненти з одного або декількох попередніх варіантів шкідливих програм. Тим не менш, LoJax має унікальне походження, що робить його неймовірно жорстким в боротьбі.

Вперше виявлений у 2018 році, LoJax є модифікованою версією комерційного програмного забезпечення LoJack, розробленого компанією Absolute Software. Зокрема, Lojax використовує випуск 2008 року, коли програмне забезпечення було відоме як Computrace. Це законне програмне забезпечення, яке інтегрується з програмним забезпеченням UEFI комп'ютера, щоб допомогти власникові відновити його у випадку його викрадення. Навіть якщо злодій обміняється на новий жорсткий диск, програмне забезпечення знову підтверджує себе від прошивки материнської плати. Це чудово, якщо ви хочете, щоб ваш ноутбук повернувся, але він також ідеально підходить для складних операцій злому.

Оригінальний звіт Arbor Networks про LoJax вказував пальцем на Fancy Bear, групу злому, прив'язану до російської військової розвідки (GRU). Fancy Bear також був залучений до експлуатації прошивки, яка в минулому році вразила маршрутизатори. Lojax використовує більшість компонентів від LoJack, але підключається до командних і керуючих серверів, якими керує Fancy Bear. Зловмисники можуть використовувати інструмент для моніторингу комп'ютера з невеликим ризиком виявлення.

Як LoJax працює, люб'язно Eset.
Як LoJax працює, люб'язно Eset.

Arbor Networks проаналізував нові зразки трояна LoJax, які вказують, що він все ще активний. Насправді, деякі з тих же команд і керуючих серверів використовуються. Це вказує на те, що спроби боротьби з шкідливим програмним забезпеченням в значній мірі зазнали невдачі. Через характер LoJax, тільки складні користувачі будуть знати, що вони були інфіковані.

У звіті також наведено кілька доменів, пов'язаних з раніше відомими IP-адресами, що використовуються шкідливим програмним забезпеченням. Команда ntpstatistics [.] Com і unigymboom [.] Com керують серверами, які підключаються до інфікованих комп'ютерів. Більше десятка більше IP-адрес і доменів, здається, чекають на своїх крилах.

Єдиний спосіб очистити шкідливе програмне забезпечення - це витирати жорсткий диск і перепрофілювати прошивку материнської плати. Хоча, напевно, безпечніше викинути апаратне забезпечення. Спонсоровані державою хакери, мабуть, мають ще багато неприємних трюків у своїх рукавах.

Читати далі

Дослідники розробляють зловмисне програмне забезпечення, яке працює, коли iPhone вимикається
Дослідники розробляють зловмисне програмне забезпечення, яке працює, коли iPhone вимикається

Режим низької потужності iPhone дозволяє користувачам отримувати доступ до експрес-карт та знаходити втрачені пристрої навіть тоді, коли телефон вимкнено, але він також представляє вразливість безпеки.

Google попереджає про складне зловмисне програмне забезпечення, розподілене за допомогою провайдерів
Google попереджає про складне зловмисне програмне забезпечення, розподілене за допомогою провайдерів

Відповідно до групи аналізу загроз Google (TAG), цей шпигунський програмне забезпечення було розроблено італійською компанією під назвою RCS Labs. Фірма стверджує, що знаходиться в правій стороні закону, але це не змінює факту, що його програмне забезпечення використовується для порушення конфіденційності користувачів.

Зловмисне програмне забезпечення Sharkbot знову з’являється в магазині Google Play
Зловмисне програмне забезпечення Sharkbot знову з’являється в магазині Google Play

Раніше в своєму році дослідники безпеки помітили зловмисний програмний пакет під назвою Sharkbot, що поширюється через магазин Play. Звичайно, це було викреслено, але тепер він повернувся з помстою.

Zip, rar перевершили офісні файли, як найбільш використовувані контейнери зловмисного програмного забезпе
Zip, rar перевершили офісні файли, як найбільш використовувані контейнери зловмисного програмного забезпе

Дані HP Wolf Security показують, що зашифровані архіви файлів стали найпоширенішим способом розповсюдження зловмисного програмного забезпечення, і ваш антивірусний сканер може бути корисним.