Vale sempre il vecchio detto secondo cui pensare di essere protetti è peggio che non essere protetti affatto. I criminali informatici lo sanno benissimo e per questo ogni tanto qualche azienda di sicurezza segnala che moduli di software assolutamente leciti sono stati modificati da hacker ostili in modo da comportarsi come un malware. Solo che, essendo software leciti, non si pensa che possano comportare un pericolo.

Stavolta è toccato a Lojack di Absolute Software, un tool che diversi produttori di notebook consigliano come strumento per proteggere il proprio computer, tanto da prevederne l'integrazione direttamente con il BIOS dei loro PC. Lojack svolge essenzialmente tre funzioni in caso di furto di un notebook: permette bloccarlo da remoto, cancellarne i dati e localizzarlo (in base agli identificatori delle reti WiFi a cui si connette e agli indirizzi IP che gli vengono assegnati).

Il vantaggio di Lojack è che può avere una stretta integrazione con il BIOS del computer su cui si installa. È una funzione denominata Absolute Persistence che permette ai suoi moduli software di "sopravvivere" al ripristino delle condizioni di fabbrica del computer, all’installazione di un nuovo sistema operativo e anche alla sostituzione totale del disco.

NetScout però segnala che alcuni moduli di Lojack sono stati violati e ridistribuiti con una importante modifica: invece di collegarsi ai server di Absolute Software, dialogano con alcuni server di comando e controllo. A giudicare proprio dai server usati, l'operazione dovrebbe essere stata portata avanti dal gruppo di hacker ostili russi Fancy Bear. Al momento non sembra che i moduli modificati di Lojack facciano nulla di particolare, averli però installati sul proprio PC significa di fatto avere una backdoor aperta e potenzialmente pericolosa.

Il punto è che molti anti-malware non identificano i moduli di Lojack come software ostile ma solo, al massimo, come tool pericolosi. Per rilevare quelli modificati da Fancy Bear serve quindi una signature specifica che NetScout ha già messo a disposizione. Absolut Software è informata dell'accaduto, del quale ovviamente non ha responsabilità.