Обновление Asus Live переместило вредоносное ПО на 1 миллион компьютеров
Asus продает много ноутбуков, и Касперский говорит, что в прошлом году шокирующее число этих устройств было заражено вредоносным ПО. Эскизный код не попал на эти машины через взломанный сайт или расширение вредоносного браузера. Нет, сам Asus перенес вредоносное ПО на сотни тысяч компьютеров после того, как злоумышленники получили контроль над серверами обновлений компании.
Атака, получившая название ShadowHammer, затронула многие тысячи компьютеров, но это была целенаправленная атака. Kaspersky узнал о схеме в январе, когда он обновил свои инструменты сканирования с технологией обнаружения цепочки поставок. Атака цепочки поставок включает связывание вредоносных программ с системами, когда они производятся, продаются или через системы обновления поставщиков. ShadowHammer так долго оставался незамеченным, что не оказал немедленного влияния на большинство зараженных систем. Злоумышленники искали около 600 очень специфических машин.
По словам Касперского, вредоносные программы поступали на компьютеры в течение примерно пяти месяцев в прошлом году, с июня по ноябрь. Как и все остальное, распространяемое с помощью инструмента Asus Live Update, программы были подписаны Asus и автоматически доверялись системе. Программа, называемая «ASUSFourceUpdater.exe», маскировалась под обновление инструмента Live Update, но на самом деле это была более старая версия программы, зараженная вредоносным ПО. В России, Германии и Франции было больше всего инфекций ShadowHammer, за ней следуют Италия и США.
После установки вредоносная программа сканировала MAC-адрес уникальной сетевой карты компьютера в поисках совпадения во встроенном списке из 600 систем. Если программа найдет совпадение, она обратится к командному серверу, чтобы загрузить дополнительное вредоносное ПО для захвата компьютера. Таким образом, злоумышленники знали, к кому они идут, и бросили самую широкую сеть, чтобы поймать их. Исследователи Касперского знают целевые MAC-адреса, но мы не знаем, кому принадлежали эти системы или как злоумышленники узнали их идентификаторы оборудования.
Касперский считает, что те, кто стоял за ShadowHammer, также совершили атаку CCleaner 2017. Эта вредоносная кампания также была нацелена на Asus и могла объяснить, как злоумышленники получили доступ к серверам Asus. Вскоре «Касперский» опубликует полный отчет о вредоносном ПО, но сводный пост уже доступен. Исследователи также открыли страницу, где вы можете ввести свой MAC-адрес, чтобы увидеть, был ли он в списке целей. Средства безопасности Kaspersky теперь будут обнаруживать и удалять ShadowHammer.
Читать далее
Умные вредоносные программы Masquerades как установщик Windows 11
Русский веб-сайт, замаскированный в качестве официальной страницы Microsoft, распределяет «установщик обновления», который не приведет вас к Windows 11. Что вы получите вам кучу вредоносных программ.
Google борется с вредоносным программным обеспечением с новыми хромированными значками
Некоторые считают, что значки были введены, чтобы помочь бороться с давней проблемой, в которой плохие актеры покупали существующие расширения, а затем превратили их в рекламное обеспечение.
Исследователи разрабатывают вредоносное ПО, которое работает, когда iPhone отключается
Режим низкой мощности iPhone позволяет пользователям получать доступ к картам Express и найти утерянные устройства, даже когда телефон выключен, но он также представляет собой уязвимость безопасности.
Google предупреждает о сложной вредоносной программе, распределенной с помощью интернет -провайдеров
Согласно группе анализа угроз Google (TAG), эта шпионская программа была разработана итальянской компанией под названием RCS Labs. Фирма утверждает, что находится на правой стороне закона, но это не меняет того факта, что его программное обеспечение используется для нарушения конфиденциальности пользователей.