Investigadores de seguridad de ESET, han detectado LoJax, el primer rootkit UEFI liberado por el grupo de hackers Sednit. Se trata de un malware casi indetectable que según los analistas se ha usado para atacar organizaciones gubernamentales en los Balcanes, así como en Europa Central y Oriental.

UEFI (Unified Extensible Firmware Interface) es una sección similar a la BIOS, es el firmware sucesor de esta que controla el proceso de arranque del sistema.

De acuerdo con la firma, el malware se ejecuta al escribir un módulo UEFI malicioso en la memoria flash del sistema. Lo peligroso de este malware, es que una vez modificado UEFI se ejecutará durante el inicio del sistema, haciéndolo casi imperceptible e incluso indestructible, pues sobrevivirá aunque reemplaces el disco duro o reinstales el sistema operativo.

Dado que la intención de este software es proteger un sistema contra robo, es importante que resista la reinstalación del sistema operativo o el reemplazo del disco duro. Por lo tanto, se implementa como un módulo UEFI / BIOS, capaz de sobrevivir a tales eventos.

Esta solución viene preinstalada en el firmware de una gran cantidad de computadoras portátiles fabricadas por varios OEM, a la espera de ser activadas por sus propietarios.

Asimismo, los investigadores indican que este el primer rootkit malicioso liberado hasta ahora, pues estos se usan principalmente para pruebas de concepto, dada su peligrosidad durante ataques cibernéticos.

Los atacantes usaron un controlador de kernel, RwDrv.sys, para acceder a la configuración de UEFI/BIOS. Este controlador se incluye con RWEverything, y se encuentra disponible en la web, este se puede usar para leer información en casi todas las configuraciones incluyendo PCI Express, memoria, ROM opcionales de PCI, por lo que se encuentra firmado con un certificado de firma de código válido.

Si bien, este rootkit es difícil de eliminar y detectar, existe una forma de evitar que se ejecute, la primera es habilitar el modo seguro, ya que cuando el inicio seguro está habilitado, todos y cada uno de los componentes cargados por el firmware deben estar firmados correctamente, lo que garantiza la integridad de este. La otra opción que ESET recomienda es instalar un nuevo firmware en la placa base.

Más en TekCrispy