ShadowHammer: Un backdoor infecta PCs Asus a través de ‘Asus Live Update’

Pacman · 26 Marzo, 2019 17:20

El malware, que podría haber sido instalado en cerca de 1 millón de ordenadores, se encontraba dirigido a un grupo pequeño de usuarios.

Según ha descubierto el equipo de Kaspersky Lab, en la que ha llamado operación ShadowHammer, el software Asus Live Update habría sido empleado para instalar malware en los equipos que utilizan dicho programa. Esta herramienta se encuentra preinstalada en los ordenadores de ASUS para la actualización del software de serie.

El malware, aunque podría haber sido instalado en cerca de 1 millón de ordenadores, sólo se ejecutaba en las máquinas cuya dirección MAC se encontrase en una lista de direcciones ubicada en el código del malware. En total, Kaspersky ha encontrado 600 direcciones diferentes entre 200 muestras recopiladas, aunque la lista podría ser mayor.

Según la marca de antivirus, ASUS fue notificada el día 31 de enero, aunque ésta todavía no ha tenido tiempo de dar más información.

Según reveló Symantec, 13.000 equipos que emplean su antivirus se habrían visto comprometidos por este malware, mientras según Kaspersky unos 57.000 de sus usuarios se vieron afectados. En el caso de Kaspersky, la mayoría de los equipos infectados provienen de Rusia, algo que no debe extrañar al tener una mayor cuota de mercado en su propio país.

A parte de la gravedad de los hechos, resulta realmente preocupante que el malware se encontrase firmado por la propia ASUS, lo cual demuestra que han podido acceder a su red, y que probablemente el certificado ha sido comprometido. Esto permitiría posibles futuros ataques utilizando dicho certificado, si es que no se revoca.

El software Asus Live Update está diseñado para buscar nuevas versiones de los programas publicados en el sitio web de Asus y, a continuación, actualizar automáticamente el BIOS, los controladores y las aplicaciones de un PC. Si ShadowHammer permitía que el PC descargara software malicioso del BIOS desde otro sitio, ese software podría apoderarse de todo el PC básicamente.

Fuente: Unaaldia

Kaspersky a liberado una herraminta de comprobacion de la direccion MAC y un sitio web en: https://shadowhammer.kaspersky.com

Marcelo · 26 Marzo, 2019 17:46

La operación Shadow Hammer se trata de un APT (ataque de amenaza persistente avanzada) que son ataques a nivel nacional generalmente iniciados por un par de países específicos, dirigidos a ciertas organizaciones o entidades internacionales en lugar de a los consumidores en general…

Por lo que es muy, pero muy difícil que nuestra MAC address pueda ser target de estos y la pagina de KAS nos muestre un resultado como este:

Entre los puntos interesantes, se destaca que logran vulnerar una vez mas un actualizador (cuando siempre como regla básica de seguridad es mantener todo actualizado ) que por mas que este firmado digitalmente por la misma entidad y se encuentre en los mismos servidores de la compañía en cuestión, estos no se por enterados…

y por mas que les avisaran en Enero, no dicen nada hasta que se hace publico por otro lado y recién hoy ASUS emite un comunicado oficial y también libera una herramienta… la cual por cierto, irónicamente Microsoft Defender detecta como el troyano Foretype

Seguramente se trate de un falso positivo de Defender… pero si fuera cliente de ASUS no me dejaria muy tranquilo luego que ya demostraron vulnerar y modificar sus programas en sus propios servidores.

Salu2

hangar0 · 28 Marzo, 2019 16:16

cambien la direccion mac. . y listo; esas salidas sin permisos siempre me han parecido tan sucias y mas cuando son las mismas compañias las que dejan las puertas abiertas. . XD