Asus Live Update instala malware entre sus usuarios
El malware, que podría haber sido instalado en cerca de 1 millón de ordenadores, se encontraba dirigido a un grupo pequeño de usuarios.
Según ha descubierto el equipo de Kaspersky Lab, en la que ha llamado operación ShadowHammer, el software Asus Live Update habría sido empleado para instalar malware en los equipos que utilizan dicho programa. Esta herramienta se encuentra preinstalada en los ordenadores de ASUS para la actualización del software de serie.
El malware, aunque podría haber sido instalado en cerca de 1 millón de ordenadores, sólo se ejecutaba en las máquinas cuya dirección MAC se encontrase en una lista de direcciones ubicada en el código del malware. En total, Kaspersky ha encontrado 600 direcciones diferentes entre 200 muestras recopiladas, aunque la lista podría ser mayor.
La publicación de la operación se precipitó el día de ayer cuando VICE Motherboard reveló los hechos, aunque Kaspersky todavía sigue investigando y publicará todos los detalles en el SAS de Singapur. Según la marca de antivirus, ASUS fue notificada el día 31 de enero, aunque ésta todavía no ha tenido tiempo de dar más información.
Según reveló a Vice la marca Symantec, 13.000 equipos que emplean su antivirus se habrían visto comprometidos por este malware, mientras según Kaspersky unos 57.000 de sus usuarios se vieron afectados. En el caso de Kaspersky, la mayoría de los equipos infectados provienen de Rusia, algo que no debe extrañar al tener una mayor cuota de mercado en su propio país.
A parte de la gravedad de los hechos, resulta realmente preocupante que el malware se encontrase firmado por la propia ASUS, lo cual demuestra que han podido acceder a su red, y que probablemente el certificado ha sido comprometido. Esto permitiría posibles futuros ataques utilizando dicho certificado, si es que no se revoca.
Aunque todavía faltan los detalles de la operación, según comentan Kamluk y Raiu de Kaspersky Lab, existen muchas similitudes entre esta operación, la de ShadowPad y la de CCleaner, en la que se llegaron a infectar más de 2 millones de usuarios, por lo que es posible que se traten de los mismos atacantes.
Fuente:
Operation ShadowHammer:
https://securelist.com/operation-shadowhammer/89992/
Hackers Hijacked ASUS Software Updates to Install Backdoors on Thousands of Computers:
https://motherboard.vice.com/en_us/article/pan9wn/hackers-hijacked-asus-software-updates-to-install-backdoors-on-thousands-of-computers
Via: unaaldia.hispasec.com