Asus corrige brecha que distribuiu malware para milhares de PCs via atualização

Asus ZenBook 13

Cerca de 500 mil computadores da Asus com Windows receberam um backdoor através da ferramenta de atualização Live Update: ele identificava se o PC tinha um endereço MAC específico e, em caso afirmativo, baixava malware para a máquina. A Asus atualizou o Live Update e implementou medidas de segurança para evitar que isso aconteça de novo.

• Celulares da Nokia são investigados na Finlândia por enviarem dados à China
• Microsoft lança prévia de antivírus para macOS

Segundo a Kaspersky Lab, hackers colocaram um backdoor no instalador da ferramenta Live Update, que normalmente traz atualizações de drivers e firmware. Então, eles assinaram digitalmente o arquivo com um certificado válido da própria Asus, e invadiram o servidor da empresa que distribui o programa.

O backdoor verificava se o computador tinha um endereço MAC único; nesse caso, ele baixava malware de um servidor com endereço IP da Rússia. Não se sabe o que havia nesse software malicioso. A Kaspersky chamou isso de Operação ShadowHammer.

Segundo o Motherboard, o backdoor tinha uma lista de 600 endereços MAC específicos, e visava infectar apenas um pequeno número de vítimas. Ainda assim, pesquisadores da Kaspersky estimam que meio milhão de computadores com Windows receberam o backdoor entre junho e novembro. O Live Update é instalado em PCs da Asus por padrão.

A Symantec explica ao TechCrunch que este foi um ataque à cadeia de suprimentos. Acredita-se que os hackers tiveram acesso aos certificados da Asus através de desenvolvedores de software ou fornecedores de componentes que trabalham com a fabricante; trata-se de algo difícil de detectar.

A Asus também demorou em responder. A Kaspersky notificou a empresa em 31 de janeiro, e teve um encontro presencial em 14 de fevereiro. Desde então, ela não havia dado continuidade ao assunto, nem avisado os clientes sobre o ocorrido.

Asus corrige brecha no Live Update

Nesta terça-feira (26), a Asus enfim se manifestou, dizendo que “um pequeno número de dispositivos” recebeu o backdoor através de um ataque sofisticado nos servidores do Live Update. Ela sugere que isso se trata de uma APT (Ameaça Persistente Avançada), ou seja, um ataque feitos por nações que “miram certas organizações ou entidades internacionais, em vez de consumidores”.

A Asus atualizou o Live Update (versão 3.6.8) para introduzir “vários mecanismos de verificação de segurança” no intuito de evitar adulterações no futuro, além de implementar um mecanismo de criptografia ponta-a-ponta.

Há ainda uma ferramenta de diagnóstico para verificar se seu PC foi infectado; caso ele seja da Asus, basta fazer o download neste link. A empresa diz que está entrando em contato com os usuários afetados; e que atualizou seus servidores para impedir que ataques semelhantes ocorram no futuro.

Isto lembra o que aconteceu com o CCleaner em 2017: uma versão hackeada foi distribuída por semanas, até que pesquisadores de segurança descobriram o backdoor. Neste caso, o ataque mirava em cerca de 20 empresas de tecnologia, incluindo a Samsung, Google, Intel e Microsoft.

Com informações: TechCrunch, Engadget.

Receba mais notícias do Tecnoblog na sua caixa de entrada

E-mail:

* ao se inscrever você aceita a nossa política de privacidade