Archivo por meses: Septiembre 2015

Tecnología Malware en equipos Lenovo

Lenovo MalwareTras un tiempo si publicar nada en el blog he encontrado un tema que me parece muy interesante. Hace unas semanas el mundo digital se hacía eco de una noticia referente a determinado software de rastreo incluido en algunos equipos Lenovo. Como de costumbre, uno piensa que este tipo de sucesos le tocan muy de lejos. Hasta que te encuentras con este software dentro de casa.

El caso es que, revisando unos logs de squid buscando otra cosa, me encontré con las siguientes peticiones:

1443163380.208    494 192.168.0.111 TCP_MISS/200 770 POST http://search.namequery.com/ – DIRECT/209.53.113.223 image/jpeg
1443163380.733    514 192.168.0.111 TCP_MISS/200 775 POST http://search.namequery.com/ – DIRECT/209.53.113.223 image/jpeg
1443163381.269    536 192.168.0.111 TCP_MISS/200 771 POST http://search.namequery.com/ – DIRECT/209.53.113.223 image/jpeg
1443163381.776    507 192.168.0.111 TCP_MISS/200 769 POST http://search.namequery.com/ – DIRECT/209.53.113.223 image/jpeg
1443163382.260    484 192.168.0.111 TCP_MISS/200 770 POST http://search.namequery.com/ – DIRECT/209.53.113.223 image/jpeg
1443163382.751    485 192.168.0.111 TCP_MISS/200 772 POST http://search.namequery.com/ – DIRECT/209.53.113.223 image/jpeg
1443163383.252    501 192.168.0.111 TCP_MISS/200 779 POST http://search.namequery.com/ – DIRECT/209.53.113.223 image/jpeg
1443163383.750    497 192.168.0.111 TCP_MISS/200 771 POST http://search.namequery.com/ – DIRECT/209.53.113.223 image/jpeg
1443163384.222    473 192.168.0.111 TCP_MISS/200 773 POST http://search.namequery.com/ – DIRECT/209.53.113.223 image/jpeg
1443163384.739    517 192.168.0.111 TCP_MISS/200 772 POST http://search.namequery.com/ – DIRECT/209.53.113.223 image/jpeg

Inmediatamente me llamaron la atención al tratarse de continuas subidas de información desde una ip interna hacia un dominio que, cuanto menos, sonaba sospechoso. Por otro lado, las peticiones siempre se producían desde determinadas ips. Tras verificar las ips internas identificamos tres equipos Lenovo que habían sido adquiridos hacía poco más de un mes.

Al buscar el dominio en google me encontré este artículo en el cual alguien ya había investigado sobre las sospechosas peticiones. A modo de resumen, os diré que se trata de un software de la empresa Absolute que, cada vez de forma más común, aparece en nuestros ordenadores y dispositivos móviles. Así que si alguien cree que por tener un equipo Acer o Dell no está expuesto al problema ya puede ir descartando esa idea. Lenovo, Dell, Samsung, etc. están incorporando este software.

Quizás a alguno de vosotros la idea de que el fabricante realice un seguimiento de los productos que vende no le parezca tan grave, sin embargo, imaginaros qué sucedería si dicha información fuera interceptada o si la aplicación fuera afectada por un malware que modificara la dirección contra la que debe subir los datos.

Hasta que pueda revisar físicamente los equipos Lenovo he optado por filtrar en capa 3 cualquier acceso a la ip 209.53.113.223 de forma que los equipos nos puedan seguir enviando información.

A continuación os dejo un enlace del análisis que hizo Karspesky en su día sobre este software.

¿Te ha gustado algún artículo? Apúntate a nuestra lista de correo y podrás recibirlos antes que nadie en tu email. Recibirás como máximo uno por día y podrás cancelar tu suscripción en cualquier momento