ShadowHammer: actualizaciones maliciosas para portátiles ASUS

25 Mar 2019

Gracias a una nueva tecnología en nuestros productos capaz de detectar ataques a la cadena de suministro, nuestros expertos han descubierto el que parece ser uno de los incidentes relacionados con la cadena de suministro más importantes (¿recordáis CCleaner? Pues este es aún más grande). Un actor de amenazas modificó ASUS Live Update Utility, que proporciona BIOS, UEFI y actualizaciones de software a los portátiles y sobremesas ASUS, añadió una puerta trasera y la distribuyó a los usuarios a través de canales oficiales.

Esta herramienta equipada con un troyano recibió la firma de un certificado legítimo y se alojó en el servidor oficial de ASUS dedicado a las actualizaciones, esto le permitió pasar desapercibida durante mucho tiempo. Los ciberdelincuentes incluso se aseguraron de que el tamaño del archivo del servicio malicioso fuera igual que el del original.

Según nuestras estadísticas, más de 57000 usuarios de los productos de Kaspersky Lab han instalado esta herramienta con puerta trasera, pero estimamos que se haya distribuido a 1 millón de personas en total. No obstante, los ciberdelincuentes solo estaban interesados en 600 direcciones MAC específicas, que han visto cómo se ha codificado el hash en las diferentes versiones de esta herramienta.

Durante la investigación del ataque, descubrimos que se había utilizado estas misma técnica con el software de otros tres proveedores. Evidentemente, informamos a ASUS y a las demás compañías sobre el ataque. A partir de ahora, todas las soluciones de Kaspersky Lab detectan y bloquean los servicios con este troyano, pero te aconsejamos que actualices ASUS Live Update Utility si lo utilizas. Mientras, nuestra investigación sigue en marcha.

Si quieres descubrir más sobre uno de los ataques a la cadena de suministro más grandes, indagar en la información técnica, ver los IOCs, conocer los objetivos y aprender a protegerte de ataques como este, te invitamos a visitar el SAS del 2019, una conferencia de seguridad para todos que abre sus puertas el 8 de abril en Singapur. En ella, tendremos una charla dedicada a la APT ShadowHammer con información muy interesante. ¡Date prisa, ya casi estamos al completo!

Lee el informe completo en Securelist, que también estará disponible durante el SAS. ¡No te lo pierdas!