Mecanismo de atualização da Asus baixou vírus para computadores, diz Kaspersky Lab

A fabricante de antivírus Kaspersky Lab afirma ter identificado um arquivo malicioso entre os programas baixados pelo programa de atualização instalado em notebooks da Asus, o "Asus Live Update". Os detalhes do incidente, batizados de "ShadowHammer", ainda não foram revelados.

A Asus ainda não se pronunciou sobre as acusações. O incidente é conhecido desde janeiro e, segundo a Kaspersky Lab, a fabricante já foi notificada. Mesmo assim, nenhum comunicado foi emitido para os clientes que adquiriram os notebooks potencialmente afetados.

Segundo informações fornecidas pela Kaspersky Lab ao site "Motherboard", o código pode ter chegado a 500 mil computadores entre junho e novembro de 2018, mas os responsáveis pelo ataque queriam chegar a apenas algumas poucas máquinas. Isso porque o código só prossegue com o download de outros programas maliciosos caso o identificador da placa de rede do computador esteja em uma lista de 600 números definida pelo vírus.

Esse identificador, chamado de endereço de MAC (Media Access Control), é único para cada placa de rede. Por exemplo, se um computador possui uma conexão de rede com fio e outra sem fio, cada adaptador de rede terá seu próprio número MAC, mesmo que ambos tenham o mesmo fabricante. Outro computador que tiver os mesmos adaptadores também terá seu próprio número.

Isso significa que os atacantes provavelmente sabiam o MAC dos computadores alvos e utilizaram o mecanismo de atualização da Asus para poder chegar aos seus alvos. Isso, juntamente com o fato de que o vírus tinha uma assinatura digital válida da Asus, contribuiu para que o ataque passasse despercebido por tanto tempo.

O segundo estágio do vírus — que seria baixado apenas nesses computadores alvos — não foi analisado, porque o site que o distribuía não está mais no ar. Os especialistas precisariam identificar um computador em que a praga digital foi instalada para realizar uma perícia e desvendar as ações do código.

Semelhanças com casos anteriores

O programa CCleaner, um software gratuito que remove arquivos desnecessários do computador para liberar espaço e às vezes otimizar o sistema, sofreu um ataque semelhante em 2017, quando uma versão disponibilizada pelos canais oficiais de download do programa foi contaminada com um código malicioso.

Assim como a atualização da Asus, a versão adulterada do CCleaner contava com uma assinatura digital válida e legítima da desenvolvedora do software, a Piriform (a empresa hoje pertence à fabricante de antivírus Avast).

Embora o código tenha chegado a 2,27 milhões de pessoas, apenas algumas centenas delas foram de fato contaminadas com o "segundo estágio" do software espião. Isso porque o vírus verificava se o computador tinha uma configuração de rede corporativa específica.

Embora milhões de internautas tenham ficam expostos ao vírus, empresas como HTC, Samsung, Sony, VMware, Intel, Microsoft, Vodafone, MSI, Google e D-Link estavam entre os verdadeiros alvos dos responsáveis pelo ataque. Os responsáveis poderiam ter criado uma das maiores epidemias cibernéticas de todos os tempos, mas optaram por um mecanismo discreto para aumentar as chances de atingir os alvos verdadeiros.

O vírus "NotPetya", por outro lado, optou por contaminar todos os usuários vulneráveis através do mecanismo de atualização do programa de contabilidade M.E. Doc. A praga digital causou diversos estragos na Ucrânia, onde o software M.E. Doc era mais usado. A Rússia foi acusada de ser a responsável por esse vírus, que destruía computadores disfarçado como um vírus de resgate comum.