O ASUS update utility hack pode ter entregue malware a 1 milhão …

ASUS update utility hack may have delivered malware to 1 million users

A Kasperky Labs anunciou hoje a descoberta de um amplo ataque à cadeia de suprimentos que foi usado para instalar um backdoor em centenas de milhares de computadores ASUS. Os hackers responsáveis ​​pelo ataque, que a Kaspersky está chamando de ShadowHammer, obtiveram acesso ao ASUS Live Update Utility e o modificaram com esse backdoor, o que significa que a ASUS estava distribuindo o malware inadvertidamente para seus clientes.

O ShadowHammer parece ser um ataque sofisticado, pois Kaspersky diz que o arquivo foi assinado com certificados digitais ASUS, o que lhe deu a ilusão de legitimidade. Além disso, o utilitário comprometido foi armazenado nos servidores de atualização da ASUS e tinha até o mesmo tamanho do arquivo original, pelo que parece que esses hackers fizeram comprimentos específicos para garantir que o malware não fosse descoberto.

A Kaspersky disse hoje que identificou 57.000 de seus próprios usuários que baixaram o utilitário comprometido, mas estima que talvez haja mais de um milhão de máquinas por aí executando esse software. Uma coisa particularmente interessante a ser observada sobre esse ataque é que, na grande maioria dos casos, esse malware estava inativo nos computadores dos usuários. Kaspersky observa que o ataque parecia ter como alvo um “pool desconhecido de usuários” pelos endereços MAC associados aos seus adaptadores de rede.

Em um extenso relatório publicado hoje, a Motherboard escreve que, quando o malware detectou um endereço MAC que estava procurando, “alcançou um servidor de comando e controle que os invasores operavam, que instalou malware adicional nessas máquinas”. A Kaspersky conseguiu encontrar 600 endereços MAC com hash que o malware estava procurando, embora possa haver mais alvos desse ataque.

Embora a maioria das pessoas infectadas com esse malware não tenha sido especificamente direcionada, essa notícia é interrompida porque esse utilitário ainda carregava um backdoor em muitas máquinas ASUS. A Kasperky diz que descobriu esse ataque pela primeira vez em 29 de janeiro e notificou a ASUS de sua descoberta em 31 de janeiro, seguida de uma reunião pessoal entre as duas empresas em 14 de fevereiro. Vitaly Kamluk, que liderou a pesquisa da Kaspersky sobre esse ataque, disse Placa-mãe que a ASUS tem “respondido amplamente” desde a reunião de fevereiro e não notificou os clientes sobre o ataque.

No total, o ataque ocorreu entre julho e novembro de 2018, embora a Kaspersky diga que sua investigação ainda está em andamento. Os resultados completos e um documento técnico sobre as descobertas da Kaspersky serão apresentados durante o SAS 2019 em abril, por isso teremos que esperar até o próximo mês para obter mais detalhes. Embora a investigação ainda esteja em andamento, é bastante claro que esse ataque à cadeia de suprimentos é importante. Fique atento para mais.

0 Shares