Herramienta de ASUS infectada por la Operación ShadowHammer

Kaspersky Lab ha descubierto una nueva campaña de amenaza persistente avanzada (APT) que ha afectado a más de un millón de usuarios a través de un ataque a la cadena de suministro de un software de ASUS. La investigación reveló que los actores que están detrás de la amenaza llamada Operación ShadowHammer, se han dirigido a algunos usuarios de la utilidad de actualización preinstalada ASUS Live Update Utility, inyectando a través de este software una puerta trasera (backdoor) en sus equipos, al menos entre junio y noviembre de 2018.

El malware solo se ejecutaba en las máquinas cuya dirección MAC se encontrase en una lista de direcciones ubicada en el código. En total, Kaspersky ha encontrado alrededor de 600 direcciones MAC diferentes entre 200 muestras recopiladas del backdoor, aunque la lista podría ser mayor, y confirma que más de 57.000 clientes se vieron afectados.

ASUS ha publicado un comunicado oficial en el que ponen a disposición de los usuarios una nueva versión del software con mejoras de seguridad, además de una herramienta de diagnóstico para comprobar si los sistemas están afectados.

[Actualización 25/04/2019] Investigaciones posteriores han determinado que los proveedores asiáticos Electronics Extrem, Innovative Extremist y Zepetto también se han visto afectados por esta amenaza, y en estos casos se ha recopilado información relacionada con nombres de usuario, especificaciones del ordenador y versiones del sistema operativo. También podría utilizarse para descargar la carga maliciosa de los servidores de mando y control, por lo que, a diferencia del caso de ASUS, la lista de las posibles víctimas no se limitó a una lista de direcciones MAC.