Gostaríamos de chamar sua atenção para o fato de que todos os computadores ASUS foram infetados com um backdoor por meio de um APT (Advanced Persistent Threat).

Os atores maliciosos imitaram as assinaturas digitais da instalação oficial do ASUS Live Update.

Esse é um tipo de ataque perigoso e sem precedentes à cadeia de suprimentos, uma vez que não foi detetado por todas as soluções tradicionais de antivírus.

Se possui um computador ASUS, e mesmo que não tenha, pedimos que leia a matéria completa.

Se tem uma assinatura do Thor Foresight ou Thor Premium Enterprise ativa, deve estar seguro, mas se não estiver, veja abaixo como pode proteger o seu dispositivo.

As atualizações de segurança mais recentes revelaram um ataque de ameaça persistente avançada (APT) que afetou mais de um milhão de utilizadores da ASUS em todo o mundo.

Este tipo de ataque é sem precedentes na sua seriedade, porque conseguiu imitar perfeitamente a assinatura do software original de atualização automática da ASUS, passando sem ser detetado pelas soluções antivírus convencionais.

Esse enorme ataque na cadeia de suprimentos enganou os computadores, achando que estavam a receber atualizações da ASUS, enquanto instalavam um backdoor nesses computadores.

Este ataque excecionalmente perigoso foi apelidado de Operation #ShadowHammer e foi executado de junho de 2018 a novembro de 2018 até o momento.

Queremos informá-lo sobre essa vulnerabilidade e instá-lo a dar alguns passos básicos para proteger o seu sistema, caso você possua computadores ASUS.

O ASUS Live Update é um utilitário de atualização de software que vem pré-instalado na maioria dos computadores ASUS. Ele é usado para realizar atualizações automáticas em componentes importantes de software de computador, como BIOS, UEFI, drivers de software e outros aplicativos importantes.

Os hackers conseguiram substituir o autêntico software ASUS Live Update por várias versões corrompidas, que imitavam a assinatura digital da ASUS e enganavam os computadores para baixá-los e instalá-los. Os pesquisadores que levantaram o alarme estimam que mais de um milhão de computadores foram afetados.

Cada uma dessas versões de software de atualização automática corrompidas estava segmentando um grupo de utilizadores específico e desconhecido, que era identificado pelos endereços MAC de seus adaptadores de rede.

Especialistas em segurança cibernética dizem que esse tipo de MO aponta para um malware de espionagem cirúrgica, o que significa que ele foi projetado especificamente para espionar utilizadores específicos.

Depois que uma versão corrompida do software de atualização automática da ASUS foi instalada, os hackers usaram a lista codificada de endereços MAC para identificar os computadores onde o backdoor estava instalado.

Uma vez que esses computadores foram detetados, os hackers implantaram o estágio 2 de seu ataque na cadeia de suprimentos.

A segunda parte do código malicioso foi baixada do servidor de comando e controle localizado no asushotfix [.] Com. Esse servidor foi desativado em novembro de 2018, muito antes de os pesquisadores de segurança cibernética detetarem pela primeira vez essa vulnerabilidade no software de atualização automática da ASUS.

Não é a primeira vez que os hackers usam um programa legítimo para instalar backdoors por meio dele. Um ataque similar na cadeia de suprimentos foi realizado através do CCleaner em 2017. Ainda assim, este é o primeiro ataque que consegue imitar assinaturas digitais perfeitamente e infetar computadores em uma escala tão grande.

Como a ASUS é o 5º maior fornecedor de PC do mundo (de acordo com uma contagem de 2017 da Gartner por vendas unitárias), esse malware chamado #ShadowHammer é extremamente perigoso.

Quanto a quem poderia estar por trás desse ataque, os pesquisadores que descobriram o problema não têm uma resposta definitiva, mas um forte palpite.

A violação teve muitas semelhanças com os ataques anteriores da cadeia de fornecimento, visando o CCleaner (o incidente relacionado acima) e o ataque do ShadowPad de 2017, que impactou a NetSarang.

O ator de ameaça associado a esses ataques foi a BARIUM, uma entidade que os pesquisadores suspeitam ter o apoio do governo chinês.

A maioria dos usuários afetados estava localizada na Rússia, Alemanha e França. O gráfico abaixo lança mais luz sobre os principais pools de utilizadores impactados por este backdoor do ASUS Live Update e Portugal tem um largo número de utilizadores.

Os nossos próprios números mostram que menos de 5% de todos os utilizadores ativos do Heimdal Security possuem computadores ASUS. Ainda assim, pedimos a todos que sejam vigilantes e garantam que estão obtendo a melhor proteção possível.

Um ataque combinado como este APT não pode ser detetado por soluções antivírus convencionais, pois imita as assinaturas digitais do software original.

A única chance de prevenir esse tipo de infeção é ter a proteção completa oferecida por Thor Foresight (escudo de prevenção) com Thor Vigilance (o próprio anti-vírus).

Oferecemos este poderoso combo na nossa solução Thor Premium Premium Enterprise.

Aplique estas medidas básicas de segurança para se proteger:

Veja o que pode fazer agora para garantir que esteja seguro se for um utilizador de computador da ASUS.

# 1. Verifique se o seu computador possui o recurso ASUS Live Update.

Você pode encontrar o atualizador geralmente na barra de ícones, no canto inferior direito da tela.

# 2. Desinstalar a partir do Painel de Controle

Se tiver o recurso ASUS Live Update instalado, vá para o Painel de Controle / Programas / Programas e Recursos. Encontre o ASUS Live Update lá na lista ordenada alfabeticamente e clique em desinstalar.

Pode reinstalar este software mais tarde, se realmente quiser, após a crise ficar contida pela ASUS e podemos ter certeza que o perigo já passou.

# 3. Execute uma varredura de todo o seu computador o mais rápido possível

Execute uma verificação completa do seu computador para ver se o instalador da ASUS criou algum problema ou implantou outros Trojans em todo o sistema. Pode usar nosso teste gratuito da solução Thor Premium; tem 30 dias de uso gratuito, por isso há bastante tempo para proteger o seu sistema antes do término do período de avaliação.

# 4. Use um Software Patching Manager confiável

Em vez do recurso ASUS Live Update que acabou de desinstalar, use um gerenciador de correção de software confiável para manter tudo dentro do seu computador atualizado. Atrasar-se das atualizações dos seus aplicativos e software é uma grande responsabilidade de segurança, já que é o ticket de entrada para a maioria dos atores mal-intencionados. A nossa solução Thor Free pode ajudá-lo a gerenciar as suas atualizações de software a partir de um único painel. Ele é executado silenciosamente e automaticamente em segundo plano e é gratuito para sempre.