Cảnh báo: 1 triệu máy tính ASUS bị cài cửa hậu

10:00 | 27/03/2019 | LỖ HỔNG ATTT

Theo tin tức từ hãng bảo mật Kaspersky, một chiến dịch tấn công của tin tặc nhắm vào các máy tính ASUS đã bị phát hiện mới đây. Bằng cách tấn công hệ thống máy chủ cập nhật phần mềm của ASUS, tin tặc đã phát tán mã độc gây ảnh hưởng trên toàn cầu.

Mặc dù cuộc điều tra vẫn đang diễn ra, tuy nhiên Kaspersky đã công bố một số thông tin về chiến dịch này. Được đặt tên là ShadowHammer, chiến dịch được phát hiện vào tháng 1/2019. Đây là hình thức tấn công chuỗi cung ứng tinh vi liên quan đến ASUS Live Update Utility. Tuy nhiên, trong thực tế chiến dịch này đã bắt nguồn từ tháng 6 - 11/2018 gây ảnh hưởng đến số lượng lớn người dùng.

ASUS Live Update Utility là tiện ích được cài đặt trên hầu hết các máy tính ASUS và được sử dụng để tự động cập nhật một số thành phần như BIOS, UEFI, drivers và ứng dụng. Theo Gartner, ASUS là hãng cung cấp máy tính lớn thứ 5 trên thế giới về doanh số trong năm 2017. Điều này làm cho ASUS trở thành mục tiêu của tin tặc.

Cảnh báo: 1 triệu máy tính ASUS bị cài cửa hậu

Ngày 31/1/2019, Kaspersky đã thông báo cho ASUS về sự việc này. Tuy nhiên, tính tới thời điểm hiện tại, ASUS phủ nhận việc chủ đích phát tán mã độc và cho biết sẽ phát hành thông báo chính thức sau đó. Ước tính tới thời điểm hiện tại, số lượng máy tính bị lây nhiễm đã lên tới 1 triệu máy. Mã độc này được ngụy trang dưới bản cập nhật phần mềm quan trọng, phát tán từ máy chủ của ASUS và được ký bằng chứng thư số hợp lệ từ chính ASUS. Điều này làm cho mã độc dễ dàng vượt qua các phần mềm antivirus. Vì vậy, cuộc tấn công này được đánh giá có mức độ tinh vi hơn cả Shadowpad và CCleaner.

Theo các chuyên gia, mặc dù chưa xác định được động cơ của chiến dịch này, tuy nhiên, dường như tin tặc nhắm vào một số khách hàng cụ thể. Nguyên nhân, mã độc được phát hiện bao gồm hướng dẫn đặc biệt cho 600 máy tính được xác định thông qua các địa chỉ MAC. Sau khi bị lây nhiễm, mã độc sẽ cài thêm các chương trình độc hại khác để can thiệp vào hệ thống. Thông tin chi tiết về chiến dịch này sẽ được Kaspersky công bố tại Hội nghị SAS 2019 tại Singapore.

Hiện tại, Kaspersky đã phát hành 1 công cụ cho phép người dùng xác định máy tính có là mục tiêu tấn công của tin tặc hay không. Người dùng có thể truy cập tại đây và nhập địa chỉ MAC để kiểm tra độ trùng khớp.

Mã độc này được đặt tên Trojan.Win32.ShadowHammer.gen. Một số thông tin định danh về mã độc:

Tên miền và IP:

Asushotfix/com
141.105.71.116

Các URL phân phối:

hxxp://liveupdate01.asus[.]com/pub/ASUS/nb/Apps_for_Win8/LiveUpdate/Liveupdate_Test_VER365.zip
hxxps://liveupdate01s.asus[.]com/pub/ASUS/nb/Apps_for_Win8/LiveUpdate/Liveupdate_Test_VER362.zip
hxxps://liveupdate01s.asus[.]com/pub/ASUS/nb/Apps_for_Win8/LiveUpdate/Liveupdate_Test_VER360.zip
hxxps://liveupdate01s.asus[.]com/pub/ASUS/nb/Apps_for_Win8/LiveUpdate/Liveupdate_Test_VER359.zip

Mã băm:

aa15eb28292321b586c27d8401703494
bebb16193e4b80f4bc053e4fa818aa4e2832885392469cd5b8ace5cec7e4ca19

Đây không phải là lần đâu tiên hình thức tấn công này được phát hiện. Trước đó, vào tháng 9/2017, phần mềm dọn dẹp máy tính CCleaner chứa mã độc được phát tán khiến gần 2,3 triệu người dùng bị ảnh hưởng. Khi đó, Avast đã nhanh chóng phát hành phiên bản 5.34 và khuyến cáo tới người dùng cách gỡ bỏ, khôi phục lại hệ thống khi sử dụng phiên bản 5.33.

Trí Công

Theo securelist

‹ › ×

Tin liên quan

Diễn biến cuộc tấn công CCleaner

15:00 | 02/05/2018

Cuối năm 2017, phần mềm dọn dẹp hệ thống - CCleaner đã phải hứng chịu một cuộc tấn công mã độc nghiêm trọng, gây ảnh hưởng tới hơn 2,3 triệu người dùng khi thực hiện tải và cập nhật ứng dụng CCleaner từ trang web chính thức.

Cảnh báo lỗ hổng nghiêm trọng trong bộ vi xử lý của Intel

16:00 | 17/05/2019

Mới đây, Cục An toàn thông tin (Bộ Thông tin và Truyền thông) vừa phát đi cảnh báo về 4 lỗ hổng an toàn thông tin nghiêm trọng trong bộ vi xử lý của Intel.

ASUS phát hành bản vá các lỗ hổng nghiêm trọng trong bộ định tuyến

07:00 | 26/06/2023

Vừa qua, ASUS đã phát hành bản vá để giải quyết 9 lỗ hổng mức cao và nghiêm trọng trong nhiều bộ định tuyến, đồng thời hãng cũng cảnh báo khách hàng nên cập nhật ngay hoặc hạn chế quyền truy cập mạng WAN cho đến khi các thiết bị được bảo mật an toàn.

Phát hiện CCleaner nhiễm mã độc khiến hơn 2 triệu người bị ảnh hưởng

14:00 | 22/09/2017

Theo thống kê, khoảng 2,27 triệu người đang sử dụng phần mềm CCleaner bị ảnh hưởng bởi mã độc ẩn bên trong phần mềm.

Tin cùng chuyên mục

Giải mã chiến dịch phân phối phần mềm độc hại PikaBot của tin tặc Water Curupia

14:00 | 01/03/2024

Các nhà nghiên cứu của hãng bảo mật Trend Micro phát hiện các tác nhân đe dọa Water Curupira (một nhánh của nhóm tin tặc Black Basta) đang triển khai chiến dịch phân phối phần mềm độc hại PikaBot như một phần của chiến dịch email spam trong suốt năm 2023 vừa qua. Bài viết này sẽ phân tích hoạt động tấn công trong chiến dịch PikaBot cùng khuyến nghị về các biện pháp phòng tránh trước các mối đe dọa lừa đảo này.

AnyDesk bị tấn công mạng

11:00 | 07/02/2024

Ngày 02/02, nhà sản xuất phần mềm điều khiển máy tính từ xa AnyDesk (Đức) tiết lộ rằng họ đã phải hứng chịu một cuộc tấn công mạng dẫn đến sự xâm phạm hệ thống sản xuất của công ty.

Tin tặc Trung Quốc phân phối mã độc NSPX30 thông qua các bản cập nhật phần mềm

09:00 | 05/02/2024

Mới đây, công ty an ninh mạng ESET (Slovakia) báo cáo về việc một nhóm tin tặc gián điệp mạng của Trung Quốc đã thực hiện các chiến dịch tấn công mạng nhắm vào các cá nhân, tổ chức ở Trung Quốc và Nhật Bản. Bằng cách lợi dụng các lỗ hổng phần mềm để thao túng các bản cập nhật, các tin tặc đã phát tán mã độc và xâm phạm dữ liệu người dùng, đồng thời tạo các backdoor cho các cuộc tấn công trong tương lai.