Atualização maliciosa atingiu 500 mil computadores da Asus

Aproximadamente meio milhão de computadores da Asus foram infectados após hackers obterem acesso aos servidores da companhia, servindo uma atualização comprometida para cerca de 500 mil máquinas em todo o mundo. O número de vítimas efetivas, entretanto, não passaria de 600, uma vez que a praga se instalava apenas em equipamentos específicos, identificados a partir do endereço MAC.

A falha foi descoberta no ano passado, com a atualização estando presente nos servidores oficiais da companhia e sendo baixada e instalada pelos usuários entre os meses de junho e outubro. Mais do que oriunda da própria infraestrutura da Asus, ela também estava assinada com certificados oficiais usados pela companhia, o que dava a ela uma falsa aparência de autenticidade enquanto os computadores realizavam a atualização automática, muitas vezes, sem interferência direta dos usuários.

Apesar do alto número de computadores comprometidos, as vítimas são poucas. Uma vez instalado nas máquinas, o malware realizava uma busca por endereços MAC específicos; caso eles fossem localizados, mais pragas eram baixadas; se não, nada acontecia. As atualizações maliciosas, entretanto, permaneciam dormentes e, claro, poderiam ser ativadas caso os responsáveis pela campanha assim desejassem, em uma campanha finalizada pelos criminosos em meados de novembro.

A descoberta da praga foi feita pela Kaspersky em janeiro e a empresa disse ter notificado a Asus imediatamente, com números e dados sobre a infecção. De acordo com os especialistas, entretanto, a fabricante não informou a seus clientes sobre o comprometimento de suas máquinas, enquanto os certificados usados pelos hackers para autenticar o update comprometido ainda estão ativos, o que pode representar riscos adicionais.

Após ser consultada pela imprensa americana, a Symantec também confirmou a existência da praga, encontrada inclusive em 13 mil computadores da própria empresa de segurança. Já de acordo com a análise feita pela Kaspersky, cerca de 57 mil máquinas de usuários de seus softwares de proteção foram comprometidas, a maioria delas na Rússia, Estados Unidos, Alemanha e França.

A ameaça pode representar um grande revés para a Asus, principalmente em um momento no qual o governo americano tem uma força-tarefa em operação para investigar os ataques que acontecem a partir das linhas de montagem e são servidos usando infraestrutura oficial ou que atingem os equipamentos antes mesmo de eles chegarem às lojas. Ameaças semelhantes já atingiram usuários de máquinas da Lenovo e utilizadores do CCleaner.

Inclusive, uma das conclusões dos especialistas da Kaspersky é que os mesmos hackers responsáveis pelos ataques ao software de limpeza estão por trás do comprometimento dos servidores da Asus. O modus operandi seria o mesmo, com o uso de certificados oficiais para servir malwares a centenas de milhares de computadores, seguido da busca por endereços e máquinas específicas.

A Asus, entretanto, não se pronunciou oficialmente sobre o assunto. De acordo com a Kaspersky, nas notificações anteriores à divulgação pública do ataque, a empresa teria negado qualquer comprometimento em seus servidores. Da mesma forma, uma correção oficial ainda não foi liberada, apesar de o ataque, como dito, já ter sido encerrado pelos próprios responsáveis.

Fonte: Motherboard