'Malware die in Asus-updatetool werd gevonden trof ook gamebedrijven'

De malware die vorige maand op Asus-computers werd gevonden, is ook verspreid via Aziatische gameontwikkelaars en ict-bedrijven. Dat zegt beveiligingsbedrijf Kaspersky, dat de malware analyseerde.

Kaspersky vond nieuwe vormen van malware die veel overeenkomsten vertonen met de malware die eerder dit jaar op Asus-computers werd aangetroffen. In maart ontdekten onderzoekers dat malware met de bijnaam ShadowHammer op Asus-laptops was terechtgekomen doordat certificaten van het bedrijf waren overgenomen. Kaspersky zegt dat de nu gevonden malware veel op die aanval lijkt.

De nieuwe malware zoekt ook naar specifieke configuraties en mac-adressen, en als die niet worden gevonden, kijkt de malware niet verder. Het is nog niet bekend wat de malware exact doet. Er zijn ook andere aanwijzingen dat de malwarevormen op elkaar lijken. Zo zouden ze in beide gevallen dezelfde algoritmes gebruiken om een hash te berekenen. Volgens Kaspersky hebben sommige methodes die worden gebruikt, ook overeenkomsten met de aanval op CCleaner in 2017.

Kaspersky vond de malware in games van een Thais bedrijf, genaamd Electronics Extreme, dat bekend is van de zombieshooter Infestation. Ook het Zuid-Koreaanse Zepetto werd getroffen. Dat is de uitgever van een andere shooter, genaamd PointBlank. Ook zouden nog andere bedrijven zijn geïnfecteerd, maar Kaspersky noemt die niet publiekelijk, omdat ze zelf nog niet hebben gereageerd.

ShadowHammer werd verspreid via een zogeheten supplychainaanval, waarbij één bedrijf wordt geïnfecteerd en de geïnfecteerde software doorstuurt naar klanten of gebruikers. Het virus werd in het geval van Asus via een updatetool verspreid. Bij de nieuwe malwaregevallen werd gestolen broncode van Infestation gebruikt om een geïnfecteerde kopie van de game te maken en verder te verspreiden. Tijdens de aanval wordt gebruikgemaakt van vervalste veiligheidscertificaten, waardoor de updates met malware erin legitiem lijken.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 24-04-2019 15:12 19

24-04-2019 • 15:12

19

Lees meer

Aanvallers dringen binnen in netwerk Avast 'om malware in CCleaner te plaatsen'
Aanvallers dringen binnen in netwerk Avast 'om malware in CCleaner te plaatsen' Nieuws van 21 oktober 2019
Overheid kan niet zeggen of antivirus van Kaspersky nog wordt gebruikt
Overheid kan niet zeggen of antivirus van Kaspersky nog wordt gebruikt Nieuws van 15 juli 2019
Internationale opsporingsdiensten ontmantelen netwerk achter GozNym-bankmalware
Internationale opsporingsdiensten ontmantelen netwerk achter GozNym-bankmalware Nieuws van 16 mei 2019
Asus Live Update-software bevatte backdoor voor gerichte aanvallen
Asus Live Update-software bevatte backdoor voor gerichte aanvallen Nieuws van 25 maart 2019
Piriform haalt laatste versie CCleaner offline na privacyzorgen gebruikers
Piriform haalt laatste versie CCleaner offline na privacyzorgen gebruikers Nieuws van 6 augustus 2018
'Aanvallers CCleaner wilden keylogger en wachtwoorddief installeren'
'Aanvallers CCleaner wilden keylogger en wachtwoorddief installeren' Nieuws van 9 maart 2018
Meer producten en artikelen
Networking en security

Reacties (19)

-Moderatie-faq
19
19
9
1
0
3
Wijzig sortering
kozue 24 april 2019 15:47
Dit is dus een goede reden om na aankoop van een apparaat altijd een schone kopie van je OS te installeren, ongeacht welk OS dat is of van wie je een computer koopt. Andermans installaties zijn gewoon niet te vertrouwen. Zelfs als er geen custom tooltjes met lekken in zitten, zoals hier, is het tegenwoordig ook niet ongebruikelijk om gewoon voor de klant ongewenste "telemetrie" (oftewel "legale" spyware) of adware voor te installeren.
iCore @kozue24 april 2019 16:01
Ik quote* hier @R4gnax die op het vorige artikel hierover een reactie had op een zo'n zelfde reactie als hier, lijkt me wel handig, veel goede (denk ik) informatie
Dit is dus precies de reden dat bij een verse laptop ook altijd een versie installatie van Windows wordt doorlopen voor ik hem in gebruik neem.
[@R4gnax] En dat gaat je vaak niet helpen.

Sinds Windows 8 kijkt Microsoft bij de installatie van Windows naar een speciale ACPI table in het UEFI wat ze de Windows Binary Partition Table (WBPT) noemen. De Windows installer zal executables die in deze table staan altijd (ongevraagd en zonder verdere melding aan de gebruiker) oppikken en opnemen in het (her)installatie- en/of boot-proces.

Deze table is eigenlijk bedoeld voor kritieke features, zoals bijv. speciale device drivers om basale invoer/uitvoer via een geintegreerd toetsenbord of trackpad te laten werken zoals het hoort; of anti-diefstal software.

Van sommige vendors is bekend dat zij de WBPT ook misbruiken of hebben misbruikt om hun eigen crapware vanaf te bootstrappen. Lenovo is daar schoolvoorbeeld van.

Zij hebben een eigen crapware delivery tool gehad die vanuit de WBPT ongevraagd geinstalleerd wordt en keer-op-keer bij opstarten aan de gebruiker een prompt toont die hen verzoekt de rest van de troep te installeren. Deze executable kon je niet weg krijgen. De dropper (laten we het in malware termen houden, want feitelijk vertoont het er alle kenmerken van) zal elke keer dat de laptop opstart opnieuw vanuit de WBPT gedraaid worden; en een paar checks doen om te zien of het zootje geinstalleerd staat en intact is. Zo niet; gaat het er opnieuw overheen gezet worden. (Dus de rechten aanpassen, of vervangen door een dummy executable helpt ook niet.)

Het is heel hardnekkig bezitterig gedrag van de laptop vendors en WBPT en UEFI hebben het een stuk makkelijker en veiliger gemaakt, waardoor het vaker ingezet wordt dan voorheen.

Want ja: een aantal van hen, waaronder opnieuw Lenovo, wist voorheen hetzelfde trucje al te doen door direct vanuit BIOS de Windows bootloader aan te passen en een executable die kritiek is voor het boot-proces te vervangen door een ander exemplaar met dezelfde soort dropper code er in. (Ja, echt.)
*Disclaimer: Ik ga niet over de verstrekte informatie of de correctheid hiervan van de gequote reactie

[Reactie gewijzigd door iCore op 23 juli 2024 03:11]

kozue @iCore24 april 2019 16:13
WBPT kende ik nog niet. Maar is daar niet omheen te komen door UEFI gewoon uit te schakelen? Ik heb tot nu toe nog geen computers gezien waarin UEFI niet uit te zetten was. Alhoewel ik verder ook nooit met Lenovo systemen in aanraking kom...
Verwijderd @kozue24 april 2019 18:28
Ben http://download.microsoft...latform-binary-table.docx aan het lezen - het werkt op BIOS en UEFI, en lijkt erop dat het niet te omzeilen valt tenzij je de binary boot kan manipuleren. Overigens, UEFI uitzetten? Zorg dat je dat niet op een master boot HDD of SSD groter dan 2.1 TB doet, anders krijg je je PC niet meer opgestart...

[Reactie gewijzigd door Verwijderd op 23 juli 2024 03:11]

ronaldvr @iCore24 april 2019 23:18
Mmm, en als je éérst met een Linux liveCD alle partities weg mikt? Of ziet linux deze partitie niet?
dataindataout @ronaldvr25 april 2019 07:31
Het is geen partitie, het zit in een chip op je moederbord. Dat krijg je niet zomaar weg.
ronaldvr @dataindataout25 april 2019 10:52
OK, Aha, nou een reden te meer om dergelijke handel niet aan te schaffen dus....
Hamoudi1995 @kozue24 april 2019 16:10
Je bedoelt 2e handse toestellen?
kozue @Hamoudi199524 april 2019 16:40
Nee. Alles. Nieuwe, tweedehands, maakt niet uit, ze zitten allemaal vol rommel.
Hamoudi1995 @kozue24 april 2019 19:11
Dus als ik nieuw toestel koop moet ik eerst factory reset doen?
Verwijderd @Hamoudi199524 april 2019 19:42
Juist geen factory reset, maar een compleet opnieuw geïnstalleerd systeem door in feite de OS die er op staat helemaal af te breken en een versie van de OS maker te pakken. Factory reset betekend dat je de image die de fabrikant gebruikt heeft om de software er op te zetten na de productie terug plaatst - dat is inclusief de spamware/malware. Wat je moet doen is alles van de fabrikant helemaal weg halen, en daarvoor moet je eigenlijk opnieuw beginnen. Beste is zelfs misschien (als het om een desktop of laptop gaat) ook de BIOS/UEFI te flashen met de laatste BIOS/UEFI versie die de (oorspronkelijke) maker van het moederbord aanbiedt, anders kan het zijn dat alsnog alle rotzooi terugkomt.
Hamoudi1995 @Verwijderd24 april 2019 21:14
Om zo ook de bloatware te verwijderen?

Nou ja, daar heb je wel een punt.

Ik heb eerlijk gezegd zo nooit gedacht.
jpsch 24 april 2019 15:55
Kaspersky moeten we wantrouwen, maar/want ze vinden wel malware...
Verwijderd @jpsch24 april 2019 16:51
Kaspersky moeten we wantrouwen, maar/want ze vinden wel malware...
Hoelang denk je dat ze bestaan als ze geen malware meer ontdekken? Niemand heeft recentelijk gezegd dat ze een slecht product hadden (want dat hebben ze niet) maar het feit dat ze wel toegang geven tot broncode van versie die uitgekomen zijn nadat er mogelijke problemen aan het licht kwamen en nooit toegang hebben willen geven tot de broncode van hetzelfde product VOORDAT die problemen bekent waren doet toch wel enig argwaan rijzen nietwaar?
jpsch @Verwijderd24 april 2019 17:09
Toch zou ik ook meer ontdekkingen verwachten van andere malware onderzoekers.
Videopac @jpsch24 april 2019 20:14
Kaspersky was gewoon een bedreiging voor de veiligheidsdiensten in de V.S.: ze ontdekten eerder teveel dan te weinig malware en zero-days. Een beetje hetzelfde als nu met Huawei: de V.S. duldt het niet als andere landen er dezelfde spionage-activiteiten op na willen gaan houden als zij zelf.
JobKlimop @jpsch24 april 2019 16:02
Een corrupte politieagent vangt ook boeven, behalve de boeven die hem omgekocht hebben.
Ik heb geen idee in hoeverre Kaspersky wel te vertrouwen is, maar dit is nogal kort door de bocht.
batjes
24 april 2019 16:00
Infestation is er bij betrokken? Bedrijf achter die DayZ clone is echt super shady.

Infestation broncode gejat.... In 2013 ook al. Toen het nog WarZ heette. Infestation is overigens al een jaar of 2 offline dacht ik.
AuteurTijsZonderH Nieuwscoördinator @batjes24 april 2019 16:07
Die kloon kwam ook van de source die destijds was gestolen. Op welke manieren zijn ze nog meer shady?

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq