Asus Live Update envió malware a 1 millón de PC

Asus vende muchas computadoras portátiles y Kaspersky dice que una cantidad sorprendente de esos dispositivos se infectaron con malware el año pasado. El código incompleto no llegó a esas máquinas a través de un sitio web pirateado o una extensión de navegador maliciosa. No, la propia Asus empujó el malware acientos de miles de máquinas después de que los atacantes obtuvieran el control de los servidores de actualización de la empresa.

El ataque, denominado ShadowHammer, afectó a muchos miles de computadoras, pero fue un ataque altamente dirigido. Kaspersky se dio cuenta del esquema en enero cuando actualizó sus herramientas de escaneo con tecnología de detección de la cadena de suministro. Un ataque a la cadena de suministro implica agrupar malware con los sistemas cuando se fabrican, venden o mediante los sistemas de actualización de los proveedores. ShadowHammer no fue detectado durante tanto tiempo porque no tuvo ningún efecto inmediato en la mayoría de los sistemas infectados. Los atacantes buscaban unas 600 máquinas muy específicas.

Según Kaspersky, el malware llegó a las máquinas durante unos cinco meses el año pasado, de junio a noviembre. Como todo lo demás distribuido a través de la herramienta Asus Live Update, los programas fueron firmados por Asus y automáticamente confiados por el sistema. El programa, llamado 'ASUSFourceUpdater.exe', se hizo pasar por una actualización de la herramienta Live Update, pero en realidad era una versión anterior del programa troyano con malware. Rusia, Alemania y Francia tuvieron, con mucho, la mayoría de las infecciones por ShadowHammer, seguidas de Italia y Estados Unidos.



Después de la instalación, el malware escaneó la dirección MAC única de la tarjeta de red de la computadora, buscando una coincidencia en su lista integrada de 600 sistemas. Si el programa encontraba una coincidencia, se comunicaría con un servidor de comando y control para descargar malware adicional y hacerse cargo de la computadora. Entonces, los atacantes sabían a quién iban tras y lanzaron la red más amplia posible en un intento de atraparlos. Los investigadores de Kaspersky conocen las direcciones MAC objetivo, pero no sabemos quién era el propietario de esos sistemas o cómo los atacantes aprendieron sus ID de hardware.

Kaspersky cree que los que están detrás de ShadowHammer también perpetraron el Ataque CCleaner 2017. Esa campaña de malware también apuntó a Asus y podría ser la forma en que los atacantes obtuvieron acceso a los servidores de Asus. Kaspersky publicará un informe completo sobre el malware pronto, pero ya hay una publicación de resumen disponible. Los investigadores también han puesto una página en la que puede ingrese su dirección MAC para ver si estaba en la lista de objetivos. Kaspersky herramientas de seguridad ahora detectará y eliminará ShadowHammer también.

Copyright © Todos Los Derechos Reservados | 2007es.com