_Cibersegurança

Ataque usou atualização de sistema para infectar notebooks da Asus com malware

Um ataque ao servidor de distribuição de atualizações de software para notebooks Asus fez com que donos de computadores da marca baixassem um malware. O código malicioso era tão sofisticado que tinha a assinatura da companhia e endereços MAC das placas de rede dos dispositivos que procurava infectar. A ofensiva foi descoberta pela empresa de […]

Foto: Sam Rutherford / Gizmodo

Um ataque ao servidor de distribuição de atualizações de software para notebooks Asus fez com que donos de computadores da marca baixassem um malware. O código malicioso era tão sofisticado que tinha a assinatura da companhia e endereços MAC das placas de rede dos dispositivos que procurava infectar.

A ofensiva foi descoberta pela empresa de segurança cibernética Kaspersky, e detalhes do ataque, que vem sendo chamado de ShadowHammer, foram publicados em uma matéria do site Motherboard. A Symantec, outra companhia de segurança, confirmou a existência do ataque. A Asus não se pronunciou sobre o assunto até o momento.

Os pesquisadores da Kaspersky dizem que viram cerca de 57 mil máquinas infectadas com a falsa atualização de software. Esse número diz respeito apenas a computadores com produtos da empresa, no entanto.

A estimativa geral é de que o número de dispositivos com o malware instalado chegue a um milhão. Apesar disso, o programa malicioso não tinha intenção de usar todas as máquinas infectadas, mas, sim, apenas algumas delas.

A escolha era bem específica: uma análise do código do malware mostra que havia uma lista de 600 endereços MAC (identificadores únicos, atribuídos pelo fabricante) de placa de rede que eram procurados.

Como nota a Wired, nem todos os endereços MAC do código eram de dispositivos Asus. Eles podem ser de uma lista mais ampla de alvos pretendidos pelos indivíduos mal-intencionados.

Quando o endereço MAC da placa de rede do computador não batia com um dos que constavam na lista do programa malicioso, ele permanecia em silêncio na máquina. Quando a combinação existia, porém, ele levava o usuário a baixar mais um programa de um servidor falso, que fazia parecer que era da Asus.

Este servidor permaneceu ativo entre maio e novembro de 2018, mas já foi tirado do ar. Como a Kaspersky descobriu a vulnerabilidade em janeiro de 2019, ela não teve acesso a esse segundo programa malicioso e não sabe o que exatamente ele faz nem para que ele poderia ser usado.

O ataque usou um setup.exe de 2015 da própria Asus. Os indivíduos mal-intencionados injetaram o código malicioso no arquivo e conseguiram assiná-lo novamente com a verificação digital da marca taiwanesa.

Vitaly Kamluk, diretor da região Ásia e Pacífico da equipe de análise e pesquisa global da Kaspersky, deu ao Motherboard mais detalhes sobre essa falsificação:

Kamluk diz que o uso de um antigo arquivo binário com um certificado atual sugere que os atacantes tinham acesso ao servidor onde a ASUS assina seus arquivos, mas não ao servidor onde ela compila os novos. Como os invasores usaram o mesmo binário da ASUS em todas as vezes, isso sugere que eles não tinham acesso a toda a infraestrutura da ASUS, apenas parte da infraestrutura de assinatura, observa Kamluk. As atualizações de software legítimas ainda continuaram sendo enviadas aos clientes durante o período em que o malware estava sendo distribuído, mas essas atualizações legítimas foram assinadas com um certificado diferente que usava proteção de validação avançada, o que, segundo Kamluk, dificultava a falsificação.

Os pesquisadores da Kaspersky acreditam que o grupo por trás desse ataque já realizou outras duas ofensivas semelhantes. Uma delas foi o ShadowPad, que segundo o Motherboard teve como alvo um software empresarial de administração de servidores feito por uma companhia coreana.

A outra foi um ataque às atualizações do software de limpeza CCleaner. Executivos da empresa de segurança trabalham com a hipótese de que esse ataque tenha sido usado para obter acesso a servidores da Asus. Do Motherboard:

“A Asus foi um dos principais alvos do ataque ao CCleaner”, disse Raiu (Costin Raiu, diretor da equipe de pesquisa e análise global da Kaspersky). “Uma das possibilidades que estamos levando em conta é que essa tenha sido a forma como eles inicialmente entraram na rede da Asus e depois, através da persistência, conseguiram alavancar o acesso para iniciar o ataque aos computadores.”

A Kaspersky diz que divulgará mais detalhes do ataque, incluindo um artigo e uma apresentação, em um evento de segurança da informação da empresa, a ser realizado no mês que vem em Singapura.

A companhia também liberou uma ferramenta para saber se seu dispositivo foi um dos alvos do ataque. Você deve informar o endereço MAC do seu computador (há instruções sobre como encontrar o seu) para descobrir.

Atualização [26/3 às 20h15]: A Asus liberou uma ferramenta para identificar se seu computador foi infectado pelo ataque.

[Kaspersky, Motherboard, Wired]

Sair da versão mobile