Según Kaspersky Lab, los piratas informáticos del grupo APT ShadowHammer han estado monitoreando el servicio ASUS Live Update durante 5 meses y han infectado más de medio millón de computadoras en todo el mundo.
Investigadores de Kaspersky Lab
descubrieron que el año pasado, los atacantes piratearon el servidor ASUS, que era responsable de actualizar el software de la compañía. Los atacantes colocaron en el servidor un archivo malicioso con una puerta trasera, firmado por un certificado ASUS válido.
Certificado comprometido 05e6a0be5ac359c7ff11f4b467ab20fc:
[imagen - securelist.com]La mayoría de los objetos infectados detectados por los expertos de Kaspersky Lab estaban en Rusia (alrededor del 18%). Según Symantec, al menos 13,000 computadoras propiedad de los clientes de la compañía se infectaron con una actualización de malware de ASUS el año pasado en los Estados Unidos.
Estadísticas de infección:
[imagen - securelist.com]Se supone que los atacantes comprometerían unos 600 objetivos, que fueron identificados por las direcciones MAC de las computadoras.
El malware buscó sistemas de destino por sus direcciones MAC únicas. Una vez en el sistema y encontrando una de estas direcciones de destino, el malware recurrió al servidor de comando y control en el que trabajaban los atacantes, después de lo cual se instaló malware adicional en estas máquinas.
Los siguientes nodos estuvieron involucrados en este APT:
&C:
asushotfix[.]com
141.105.71[.]116Distribución:
hxxp: //liveupdate01.asus [.] com / pub / ASUS / nb / Apps_for_Win8 / LiveUpdate / Liveupdate_Test_VER365.zip
hxxps: //liveupdate01s.asus [.] com / pub / ASUS / nb / Apps_for_Win8 / LiveUpdate / Liveupdate_Test_VER362.zip
hxxps: //liveupdate01s.asus [.] com / pub / ASUS / nb / Apps_for_Win8 / LiveUpdate / Liveupdate_Test_VER360.zip
hxxps: //liveupdate01s.asus [.] com / pub / ASUS / nb / Apps_for_Win8 / LiveUpdate / Liveupdate_Test_VER359.zip
"Este ataque muestra que el modelo de confianza que utilizamos, basado en nombres de proveedores conocidos y verificación de firma digital, no puede garantizar que esté protegido contra el malware", dijo Vitaliy Kamlyuk, Director del Laboratorio Global de Investigación y Análisis de Asia-Pacífico. Kaspersky ". Señaló que ASUS no hizo comentarios sobre el pirateo de ninguna manera e ignoró los mensajes de los expertos de Kaspersky Lab sobre el servicio pirateado y el certificado comprometido.
Se han enviado solicitudes adicionales de Motherboard y Symantec a la empresa.
Una utilidad para verificar si su dirección MAC está en la lista de prioridades.
Cheque en línea .