Los investigadores de seguridad han detectado la primera instancia conocida de un kit de arranque UEFI que se utiliza en campañas dirigidas contra entidades gubernamentales en Europa Central y Oriental. El ataque se enfoca en computadoras habilitadas para UFEI y se basa en un mecanismo de persistencia que ha sido robado de un software legítimo, pero a menudo cuestionado , llamado Computrace que viene de forma predeterminada en muchos sistemas informáticos.

Este agente Computrace de Absolute Software es un servicio diseñado para recuperar computadoras perdidas o robadas, cuya tecnología subyacente se basa en el Sistema de recuperación de vehículos robados LoJack . En 2005, Absolute Software obtuvo la licencia del nombre LoJack y la tecnología de seguimiento posterior para ayudar en los esfuerzos de recuperación de las computadoras robadas. Después de las negociaciones con los fabricantes, el agente Computrace de Absolute Software, o LoJack para computadoras, ahora viene precargado en una gran cantidad de máquinas.

El software Computrace utiliza un método novedoso para mantener la persistencia en las computadoras. Esta metodología permite que el código permanezca a través de una reinstalación del sistema operativo o el reemplazo del disco duro. El software hace esto al integrarse estrechamente en las operaciones de bajo nivel que se almacenan en los módulos de memoria flash SPI ubicados en la placa base física de la computadora. Estos módulos de memoria se encuentran donde se almacenan los recursos pertinentes del sistema, como los procedimientos de BIOS y UFEI.

Un  informe de Eset  detalla cómo las versiones troyanas del agente Computrace se han comprometido para permitir a los atacantes la capacidad de ejecutar código arbitrario en máquinas vulnerables. Este código se puede almacenar dentro de los módulos flash SPI, lo que impide la detección fácil de muchas soluciones de seguridad. Esta capacidad de ejecución de código, junto con las capacidades de persistencia y seguimiento del software Computrace, crea una combinación extremadamente efectiva que es difícil de detectar o remediar. Eset está llamando a esta amenaza el malware LoJax.

A partir de este escrito, el uso de esta metodología de ataque particular parece tener un alcance limitado. La investigación indica que el propósito de este nuevo vector de ataque ha sido instalar el troyano de acceso remoto XAgent , que otros en la industria de la seguridad han vinculado al grupo de hacking ruso que tiene muchos nombres, entre ellos: APT28, Fancy Bear y Sednit.

La ejecución exitosa de la carga útil de malware depende de un sistema informático que se haya configurado para deshabilitar las protecciones de arranque seguro que vienen de serie en las computadoras Windows más nuevas.

El arranque seguro es una función de seguridad de las computadoras habilitadas con UFEI, y requiere una firma digital legítima antes de que el sistema pueda ejecutar cualquier código almacenado en el módulo de memoria flash SPI. Esta es una limitación actual del malware LoJax, ya que el código no tiene una firma digital. Esto evita la ejecución de código en entornos donde el inicio seguro está habilitado, como Windows 8 y Windows 10.

Los usuarios de Linux u otros sistemas operativos no compatibles no tendrán las protecciones integradas de arranque seguro debido a la incompatibilidad con esos dispositivos. Los usuarios que deben desactivar dichas protecciones para poder utilizar el software necesario o deseado deberán permanecer diligentes.

Aunque actualmente su alcance es limitado, anticipamos ver este vector de ataque empleado por otras familias de malware y atacantes en el futuro.