Geekly articles weekly

Cibercriminosos controlaram o ASUS Live Update por cinco meses



De acordo com a Kaspersky Lab, hackers do grupo ShadowHammer APT monitoram o serviço ASUS Live Update por 5 meses e infectam mais de meio milhão de computadores em todo o mundo.

Pesquisadores da Kaspersky Lab descobriram que, no ano passado, invasores invadiram o servidor ASUS, responsável pela atualização do software da empresa. Os invasores colocaram no servidor um arquivo malicioso com um backdoor, assinado por um certificado ASUS válido.

Certificado comprometido 05e6a0be5ac359c7ff11f4b467ab20fc:

imagem
[imagem - securelist.com]

A maioria dos objetos infectados detectados pelos especialistas da Kaspersky Lab estava na Rússia (cerca de 18%). Segundo a Symantec, pelo menos 13.000 computadores pertencentes aos clientes da empresa foram infectados com uma atualização de malware da ASUS no ano passado nos Estados Unidos.

Estatísticas de infecção:

imagem
[imagem - securelist.com]

Supõe-se que os invasores comprometam cerca de 600 alvos, identificados pelos endereços MAC dos computadores.

O malware pesquisou os sistemas de destino por seus endereços MAC exclusivos. Uma vez no sistema e encontrando um desses endereços de destino, o programa mal-intencionado acessou o servidor de comando e controle no qual os atacantes trabalhavam, após o qual um malware adicional foi instalado nessas máquinas.

Os seguintes nós estavam envolvidos neste APT:

&C:
asushotfix[.]com
141.105.71[.]116

Distribuição:
hxxp: //liveupdate01.asus [.] com / pub / ASUS / nb / Apps_for_Win8 / LiveUpdate / Liveupdate_Test_VER365.zip
hxxps: //liveupdate01s.asus [.] com / pub / ASUS / nb / Apps_for_Win8 / LiveUpdate / Liveupdate_Test_VER362.zip
hxxps: //liveupdate01s.asus [.] com / pub / ASUS / nb / Apps_for_Win8 / LiveUpdate / Liveupdate_Test_VER360.zip
hxxps: //liveupdate01s.asus [.] com / pub / ASUS / nb / Apps_for_Win8 / LiveUpdate / Liveupdate_Test_VER359.zip
"Esse ataque mostra que o modelo de confiança que usamos, com base em nomes de fornecedores conhecidos e verificação de assinatura digital, não pode garantir que você esteja protegido contra malware", disse Vitaliy Kamlyuk, diretor do Laboratório de Análise e Pesquisa Global da Ásia-Pacífico Kaspersky ". Ele observou que a ASUS não comentou o hack de nenhuma maneira e ignorou as mensagens dos especialistas da Kaspersky Lab sobre o serviço invadido e o certificado comprometido.
Pedidos adicionais da Motherboard e da Symantec foram enviados à empresa.

Um utilitário para verificar se o seu endereço MAC está na lista de prioridades. Cheque online .

Source: https://habr.com/ru/post/pt445256/

More articles:


All Articles