El grupo de investigación de seguridad de Kaspersky Lab detectó una vulnerabilidad en la actualización en el servidor del fabricante. Es decir que fue hackeado para instalar malware en el software de ASUS. Posteriormente este software malicioso se instaló en miles de laptops de usuarios de la marca.

Un reporte de Motherboards señala que Kaspersky denominó al ataque “ShadowHammer“, pues se trata de una actualización de software liberada desde los servidores del fabricante y se instaló en miles de equipos ASUS a través de actualización automática, por lo que ningún usuario podría sospechar que se trataba de un malware.

Cabe destacar que esto ocurrió sin el conocimiento de ASUS, ya que los investigadores de Kasperky Lab explican que los atacantes fueron capaces de vulnerar la seguridad de uno de los servidores del fabricante para instalar y difundir el backdoor o puerta trasera a aproximadamente 1 millón de computadoras con Windows.

El malware se disfrazó como una actualización de software “crítica”, se distribuyó desde los servidores de Asus y se firmó con un certificado de Asus real que lo hizo parecer válido.

Kaspersky explica que al parecer los hackers buscaban clientes específicos de ASUS, pues el fragmento de código usado en ShadowHammer buscaba direcciones MAC específicas, que, una vez detectadas, permitían a la actualización instalar más programas maliciosos para comprometer aún más el sistema.

La dirección MAC es una dirección física del equipo bien sea dispositivo móvil, computadoras o laptops. Es decir son como un identificador único para cada dispositivo.

Los investigadores apuntan que este tipo de orientación a menudo se asocia con ataques de espionaje por parte de los estados nacionales.

La fuente señala que Kaspersky notificó a Asus acerca del ataque y la compañía negó que el malware salió de sus servidores. Los investigadores detectaron el malware gracias a una nueva tecnología que agregaron a su herramienta de escaneo, para capturar fragmentos de código anómalos ocultos en un código legítimo.

Kaspersky dice que hará una presentación sobre el ataque de ASUS, que ha denominado ShadowHammer, el próximo mes en su Cumbre de analistas de seguridad en Singapur.