Sécurité

Asus Live Update a poussé les logiciels malveillants sur 1 million de PC

Ce site peut gagner des commissions d’affiliation à partir des liens sur cette page. Conditions d’utilisation.

Asus vend beaucoup d’ordinateurs portables et Kaspersky affirme qu’un nombre choquant de ces appareils ont été infectés par des logiciels malveillants l’année dernière. Le code fragmentaire n’est pas arrivé sur ces machines via un site Web piraté ou une extension de navigateur malveillante. Non, Asus lui-même a poussé le logiciel malveillant vers des centaines de milliers de machines après que les attaquants ont pris le contrôle des serveurs de mise à jour de l’entreprise.

L’attaque, baptisée ShadowHammer, a touché plusieurs milliers d’ordinateurs, mais il s’agissait d’une attaque très ciblée. Kaspersky a pris connaissance du stratagème en janvier lorsqu’il a mis à jour ses outils d’analyse avec la technologie de détection de la chaîne d’approvisionnement. Une attaque de la chaîne d’approvisionnement consiste à regrouper des logiciels malveillants avec des systèmes lors de leur fabrication, de leur vente ou via des systèmes de mise à jour de fournisseurs. ShadowHammer n’a pas été détecté pendant si longtemps car il n’a eu aucun effet immédiat sur la plupart des systèmes infectés. Les attaquants recherchaient environ 600 machines très spécifiques.

Selon Kaspersky, le malware est arrivé sur les machines pendant environ cinq mois l’année dernière, de juin à novembre. Comme tout le reste distribué via l’outil Asus Live Update, les programmes ont été signés par Asus et automatiquement approuvés par le système. Le programme, appelé « ASUSFourceUpdater.exe », se faisait passer pour une mise à jour de l’outil Live Update, mais il s’agissait en fait d’une ancienne version du programme contenant un logiciel malveillant. La Russie, l’Allemagne et la France avaient de loin le plus grand nombre d’infections par ShadowHammer, suivies de l’Italie et des États-Unis.

Après l’installation, le logiciel malveillant a scanné l’adresse MAC unique de la carte réseau de l’ordinateur, à la recherche d’une correspondance sur sa liste intégrée de 600 systèmes. Si le programme trouvait une correspondance, il contacterait un serveur de commande et de contrôle pour télécharger des logiciels malveillants supplémentaires afin de prendre le contrôle de l’ordinateur. Ainsi, les assaillants savaient à qui ils s’en prenaient et jetaient le filet le plus large possible pour tenter de les rattraper. Les chercheurs de Kaspersky connaissent les adresses MAC ciblées, mais nous ne savons pas qui possédait ces systèmes ni comment les attaquants ont appris leurs identifiants matériels.

Kaspersky pense que ceux derrière ShadowHammer ont également perpétré le Attaque CCleaner 2017. Cette campagne de logiciels malveillants ciblait également Asus et pourrait être la façon dont les attaquants ont eu accès aux serveurs Asus. Kaspersky publiera bientôt un rapport complet sur le logiciel malveillant, mais un article récapitulatif est déjà disponible. Les chercheurs ont également mis en place une page où vous pouvez entrez votre adresse MAC pour voir s’il figurait sur la liste des cibles. de Kaspersky outils de sécurité détectera et supprimera désormais également ShadowHammer.

Maintenant lis:

Bouton retour en haut de la page