Злоумышленники внедрили бэкдор в утилиту ASUS Live Update (Обновлено)

Злоумышленники внедрили бэкдор в утилиту ASUS Live Update (Обновлено)

Вредоносная версия утилиты была подписана украденным сертификатом и распространялась с официального сервера ASUS.

Специалисты «Лаборатории Касперского» предупредили о новой вредоносной кампании, нацеленной на пользователей компьютеров ASUS. Киберпреступная группировка ShadowHammer взломала утилиту ASUS Live Update для доставки обновлений BIOS, UEFI и ПО на лэптопы и стационарные компьютеры ASUS, внедрила в нее бэкдор и распространяла через официальные каналы.

Злоумышленники брали старые версии утилиты и внедряли в них вредоносный код, используя украденные цифровые сертификаты, применявшиеся ASUS для подписи легитимных файлов. Для того чтобы вредоносная версия не вызывала никаких подозрений, киберпреступники сделали ее размер точно таким же, как у оригинала. Поскольку модифицированная ASUS Live Update была подписана легитимным сертификатом и хранилась на официальном сервере ASUS, она долгое время оставалась незамеченной.

Сколько раз вредоносная версия программы была загружена пользователями, в «Лаборатории Касперского» не уточняют. По их данным, ASUS Live Update с бэкдором установили более 57 тыс. пользователей продуктов ЛК. Общее число заражений может достигать миллиона, считают эксперты.

Судя по вшитым в различные версии утилиты хэшам, по-настоящему киберпреступников интересовали только 600 определенных MAC-адресов. После запуска на зараженном устройстве вредонос проверял, есть ли его MAC-адрес в списке. В случае наличия адреса на систему загружался еще один вредоносный модуль. Если адрес в списке не значился, утилита не проявляла никакой активности, поэтому атака долгое время оставалась необнаруженной.

Атаки на цепочку поставок являются одним из самых опасных и эффективных векторов заражения, предупреждают специалисты «Лаборатории Касперского». Напомним, в сентябре 2017 года злоумышленники внедрили бэкдор в CCleaner от компании Avast. Вредоносную версию утилиты загрузили несколько миллионов пользователей.

Обновлено: Во вторник, 26 марта, компания Asus выпустила обновление, призванное защитить пользователей от кибератак через модифицированную версию утилиты. По данным производителя, вредоносное приложение было установлено лишь на «небольшое число устройств».


Мы клонировали интересный контент!

Никаких овечек — только отборные научные факты

Размножьте знания — подпишитесь