Asus Live Update висунув зловмисне програмне забезпечення на 1 мільйон ПК

Asus Live Update висунув зловмисне програмне забезпечення на 1 мільйон ПК

Asus продає багато ноутбуків, і Kaspersky каже, що шокирующее число цих пристроїв були заражені шкідливими програмами в минулому році. Цей схематичний код не потрапив до цих машин через зламаний веб-сайт або зловмисне розширення веб-переглядача. Ні, сам Asus підштовхнув шкідливе програмне забезпечення до сотень тисяч машин після того, як нападники отримали контроль над серверами оновлення компанії.

Напад, що отримав назву ShadowHammer, торкнувся багатьох тисяч комп'ютерів, але це була цілеспрямована атака. Kaspersky стало відомо про схему в січні, коли оновив свої інструменти сканування з технологією виявлення ланцюгів постачання. Атака ланцюжка постачання включає в себе комплектацію шкідливих програм системами, коли вони виготовляються, продаються або через системи оновлення постачальників. ShadowHammer так довго залишалася непоміченою, оскільки вона не мала негативного впливу на більшість заражених систем. Нападники шукали близько 600 дуже специфічних машин.

За словами Касперського, шкідливі програми прибули на машини близько п'яти місяців минулого року, з червня по листопад. Як і все інше, що поширюється за допомогою засобу Asus Live Update, програми були підписані компанією Asus і автоматично довірялися системі. Програма, яка називається "ASUSFourceUpdater.exe", маскується як оновлення до інструменту Live Update, але насправді вона була старішою версією програми, троянізованою з шкідливими програмами. У Росії, Німеччині та Франції найбільша інфекція ShadowHammer, за нею йдуть Італія та США.

Asus Live Update висунув зловмисне програмне забезпечення на 1 мільйон ПК

Після встановлення зловмисне програмне забезпечення сканувало унікальну MAC-адресу мережевої карти комп'ютера, шукаючи відповідність у вбудованому списку 600 систем. Якщо програма знайшла відповідність, вона потрапила б до сервера команд і керування, щоб завантажити додаткове шкідливе програмне забезпечення, щоб захопити комп'ютер. Отже, зловмисники знали, за ким вони йдуть, і кинули найширшу мережу, намагаючись зловити їх. Дослідники Касперського знають цільові MAC-адреси, але ми не знаємо, хто володів цими системами або як зловмисники дізналися про свої апаратні ідентифікатори.

Kaspersky вважає, що ті, хто стоїть за ShadowHammer, також здійснили атаку CCleaner 2017. Ця кампанія зловмисних програм також орієнтована на Asus і може бути таким, як нападники отримали доступ до серверів Asus. Kaspersky опублікує повний звіт про зловмисне програмне забезпечення найближчим часом, але вже є резюме. Дослідники також розмістили сторінку, на якій ви можете ввести свою MAC-адресу, щоб побачити, чи вона була в списку цільових. Засоби безпеки Kaspersky тепер виявлятимуть і видалятимуть ShadowHammer.