ASUS Live Update Utility: Ένα νέο advanced persistent threat (APT) που ανιχνεύτηκε από την Kaspersky Lab τον Ιανουάριο του 2019 φαίνεται να τρέχει από τον Ιούνιο έως τον Νοέμβριο του 2018.
Η απειλή φέρεται να έχει επηρεάσει πάνω από ένα εκατομμύριο χρήστες που έχουν κατεβάσει δεδομένα από το ASUS Live Update Utility στους υπολογιστές τους.
Η ομάδα Global Research and Analysis (GReAT) της Kaspersky Lab ονόμασε αυτή την κακόβουλη καμπάνια Operation ShadowHammer και όπως ανέφερε αρχικά ο Kim Zetter, οδήγησε στην λήψη και εγκατάσταση δεδομένων από μια backdoored έκδοση του ASUS Live Update πάνω από 57.000 χρήστες που χρησιμοποιούν προϊόντα της Kaspersky (σε υπολογιστές της ASUS φυσικά).
Ενώ η Kaspersky μπόρεσε να σταματήσει τις περισσότερες λήψεις από το trojanized ΑSUS Live Update, η ερευνητική ομάδα της εταιρείας υπολογίζει ότι πάνω από ένα εκατομμύριο χρήστες έχουν μολυνθεί.
Σύμφωνα με την GReAT:
Το ΑSUS Live Update είναι ένα βοηθητικό πρόγραμμα που έρχεται προεγκατεστημένο στους περισσότερους υπολογιστές της ASUS. Χρησιμοποιείται για την αυτόματη ενημέρωση ορισμένων στοιχείων όπως τα BIOS, UEFI, drivers και εφαρμογές
και συνεχίζει:
Σύμφωνα με την Gartner, η ASUS ήταν ο πέμπτη μεγαλύτερη εταιρεία υπολογιστών παγκοσμίως μέχρι το 2017. Αυτό καθιστά την εταιρεία εξαιρετικά ελκυστικό στόχο για τις ομάδες APT που μπορεί να θέλουν να επωφεληθούν από το εύρος των χρηστών τους.
Όπως αναφέρει η GReAT, υπήρχαν πολλαπλές εκδόσεις μολυσμένων αρχείων στο Live Update της ASUS που μοιραζόταν στοχεύοντας σε “άγνωστες ομάδες χρηστών, τους οποίους προσδιόριζαν από τις διευθύνσεις MAC”.
Οι επιτιθέμενοι πίσω από τη λειτουργία ShadowHammer χρησιμοποίησαν μια hardcoded λίστα από διευθύνσεις MAC για να στοχεύουν την διανομή του κακόβουλου λογισμικού. Η Kaspersky κατάφερε να συγκεντρώσει περισσότερες από 600 διευθύνσεις MAC από 200 δείγματα κακόβουλου λογισμικού που χρησιμοποιήθηκαν σε αυτή την επίθεση.
Οι ερευνητές της Kaspersky ανακάλυψαν επίσης ότι οι το μολυσμένο Live Update υπογραφόταν ψηφιακά με νόμιμα πιστοποιητικά της “ASUSTeK Computer Inc.” πιστοποιητικά που φιλοξενούνται στους επίσημους (liveupdate01s.asus[.]com και liveupdate01.asus[.]com) servers ενημέρωσης της ASUS.
Αν ανησυχείτε για τον Asus υπολογιστή σας, η Kaspersky κυκλοφόρησε μια offline εφαρμογή αλλά και ένα online web checker, για να ελέγξετε αν τα συστήματά σας έχουν μουνθεί από την Operation ShadowHammer.
Για τον έλεγχο, συγκρίνουμε την MAC διεύθυνσή σας με την λίστα των hardcoded διευθύνσεων που ανακαλύψαμε μέσα malware.
___________________
- Windows 10 build 18362 στο Slow Ring σαν υποψήφιο RTM
- Focus Mode από την Google: τι είναι και πως το ενεργοποιώ
- TEDx University of Crete Σάββατο 6 Απριλίου 2019
