Специалисты «Лаборатории Касперского» обнаружили на серверах компании ASUS вредоносный код в модифицированной злоумышленниками утилите обновления компьютера.
Модифицированная версия была подписана сертификатом ASUS, а ее размер полностью совпадал с оригиналом, сообщает N+1.
Специалисты выяснили, что целью злоумышленников были 600 устройств, адреса которых были обнаружены в коде программы.
Как правило, злоумышленники используют для распространения вредоносного программного обеспечения сторонние сервисы. Кроме того, зачастую они пользуются методом фишинга, при котором поддельный сервис имитирует настоящий и тем самым повышает доверие пользователя.
Однако в некоторых случаях, помимо создания похожих внешне сайтов злоумышленникам удается воспользоваться техническими методами, которые могут обмануть не только пользователя, но и системы безопасности.
К примеру, они могут получить доступ к механизму подписи программного обеспечения и подписать свою программу легитимным сертификатом.
Специалисты «Лаборатории Касперского» обнаружили в январе 2019 года, что сервер обновлений ASUS на протяжении примерно полугода (с июня по ноябрь 2018 года) раздавал модифицированную злоумышленниками, но подписанную сертификатом компании утилиту ASUS Live Update, используемую для обновления компьютеров ASUS.
Злоумышленники использовали версию утилиты 2015 года, в которую был добавлен вредоносный код.
Специалист отметил, что, по-видимому, у злоумышленников был доступ к серверу подписи программного обеспечения ASUS. Модифицированная утилита была установлена на компьютерах как минимум 57 тысяч пользователей программ «Лаборатории Касперского» и 13 тысяч пользователей программ Symantec.
Самая интересная часть выводов расследования специалистов заключается в том, что, судя по всему, целью авторов трояна были не обычные пользователи. Дело в том, что при анализе кода программы исследователи обнаружили в нем 600 хэшей MAC-адресов сетевых карт компьютеров.
При запуске программа сверяет MAC-адрес компьютера со списком и, если находит его в списке, приступает к скачиванию другой вредоносной программы, правда, уже не с официального сервера ASUS, а с имитирующего его.
«Лаборатория Касперского» отмечает, что связалась с ASUS через два дня после обнаружения проблемы. Компания перестала использовать два использованных в атаке сертификата для подписи, но до сих пор не аннулировала их.
Напомним, ранее «абсолютно защищенная» связь оказалась дырявой.
Баррозу: Путин говорил мне, что не хочет существования Украины
Зеленский: Путин сделал второй шаг по эскалации войны
Аудит выявил массовые манипуляции с зарплатами для бронирования работников
Морозы до -6, снег, дождь и сильный ветер: жителей Киевщины предупредили об опасной погоде
Также «Хвиля» сообщала, что в терминалах оплаты нашли ворующий деньги вирус.
Также стало известно, что калифорнийцы продают зараженные вирусом носовые платки.
Подписывайтесь на канал «Хвилі» в Telegram, на канал «Хвилі» в Youtube, страницу «Хвилі» в Facebook