Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'Malware die in Asus-updatetool werd gevonden trof ook gamebedrijven'

De malware die vorige maand op Asus-computers werd gevonden, is ook verspreid via Aziatische gameontwikkelaars en ict-bedrijven. Dat zegt beveiligingsbedrijf Kaspersky, dat de malware analyseerde.

Kaspersky vond nieuwe vormen van malware die veel overeenkomsten vertonen met de malware die eerder dit jaar op Asus-computers werd aangetroffen. In maart ontdekten onderzoekers dat malware met de bijnaam ShadowHammer op Asus-laptops was terechtgekomen doordat certificaten van het bedrijf waren overgenomen. Kaspersky zegt dat de nu gevonden malware veel op die aanval lijkt.

De nieuwe malware zoekt ook naar specifieke configuraties en mac-adressen, en als die niet worden gevonden, kijkt de malware niet verder. Het is nog niet bekend wat de malware exact doet. Er zijn ook andere aanwijzingen dat de malwarevormen op elkaar lijken. Zo zouden ze in beide gevallen dezelfde algoritmes gebruiken om een hash te berekenen. Volgens Kaspersky hebben sommige methodes die worden gebruikt, ook overeenkomsten met de aanval op CCleaner in 2017.

Kaspersky vond de malware in games van een Thais bedrijf, genaamd Electronics Extreme, dat bekend is van de zombieshooter Infestation. Ook het Zuid-Koreaanse Zepetto werd getroffen. Dat is de uitgever van een andere shooter, genaamd PointBlank. Ook zouden nog andere bedrijven zijn geïnfecteerd, maar Kaspersky noemt die niet publiekelijk, omdat ze zelf nog niet hebben gereageerd.

ShadowHammer werd verspreid via een zogeheten supplychainaanval, waarbij één bedrijf wordt geïnfecteerd en de geïnfecteerde software doorstuurt naar klanten of gebruikers. Het virus werd in het geval van Asus via een updatetool verspreid. Bij de nieuwe malwaregevallen werd gestolen broncode van Infestation gebruikt om een geïnfecteerde kopie van de game te maken en verder te verspreiden. Tijdens de aanval wordt gebruikgemaakt van vervalste veiligheidscertificaten, waardoor de updates met malware erin legitiem lijken.

Door Tijs Hofmans

Redacteur

24-04-2019 • 15:12

19 Linkedin Google+

Reacties (19)

Wijzig sortering
Dit is dus een goede reden om na aankoop van een apparaat altijd een schone kopie van je OS te installeren, ongeacht welk OS dat is of van wie je een computer koopt. Andermans installaties zijn gewoon niet te vertrouwen. Zelfs als er geen custom tooltjes met lekken in zitten, zoals hier, is het tegenwoordig ook niet ongebruikelijk om gewoon voor de klant ongewenste "telemetrie" (oftewel "legale" spyware) of adware voor te installeren.
Ik quote* hier @R4gnax die op het vorige artikel hierover een reactie had op een zo'n zelfde reactie als hier, lijkt me wel handig, veel goede (denk ik) informatie
Dit is dus precies de reden dat bij een verse laptop ook altijd een versie installatie van Windows wordt doorlopen voor ik hem in gebruik neem.
[@R4gnax] En dat gaat je vaak niet helpen.

Sinds Windows 8 kijkt Microsoft bij de installatie van Windows naar een speciale ACPI table in het UEFI wat ze de Windows Binary Partition Table (WBPT) noemen. De Windows installer zal executables die in deze table staan altijd (ongevraagd en zonder verdere melding aan de gebruiker) oppikken en opnemen in het (her)installatie- en/of boot-proces.

Deze table is eigenlijk bedoeld voor kritieke features, zoals bijv. speciale device drivers om basale invoer/uitvoer via een geintegreerd toetsenbord of trackpad te laten werken zoals het hoort; of anti-diefstal software.

Van sommige vendors is bekend dat zij de WBPT ook misbruiken of hebben misbruikt om hun eigen crapware vanaf te bootstrappen. Lenovo is daar schoolvoorbeeld van.

Zij hebben een eigen crapware delivery tool gehad die vanuit de WBPT ongevraagd geinstalleerd wordt en keer-op-keer bij opstarten aan de gebruiker een prompt toont die hen verzoekt de rest van de troep te installeren. Deze executable kon je niet weg krijgen. De dropper (laten we het in malware termen houden, want feitelijk vertoont het er alle kenmerken van) zal elke keer dat de laptop opstart opnieuw vanuit de WBPT gedraaid worden; en een paar checks doen om te zien of het zootje geinstalleerd staat en intact is. Zo niet; gaat het er opnieuw overheen gezet worden. (Dus de rechten aanpassen, of vervangen door een dummy executable helpt ook niet.)

Het is heel hardnekkig bezitterig gedrag van de laptop vendors en WBPT en UEFI hebben het een stuk makkelijker en veiliger gemaakt, waardoor het vaker ingezet wordt dan voorheen.

Want ja: een aantal van hen, waaronder opnieuw Lenovo, wist voorheen hetzelfde trucje al te doen door direct vanuit BIOS de Windows bootloader aan te passen en een executable die kritiek is voor het boot-proces te vervangen door een ander exemplaar met dezelfde soort dropper code er in. (Ja, echt.)
*Disclaimer: Ik ga niet over de verstrekte informatie of de correctheid hiervan van de gequote reactie

[Reactie gewijzigd door iCore op 24 april 2019 16:07]

WBPT kende ik nog niet. Maar is daar niet omheen te komen door UEFI gewoon uit te schakelen? Ik heb tot nu toe nog geen computers gezien waarin UEFI niet uit te zetten was. Alhoewel ik verder ook nooit met Lenovo systemen in aanraking kom...
Ben http://download.microsoft...latform-binary-table.docx aan het lezen - het werkt op BIOS en UEFI, en lijkt erop dat het niet te omzeilen valt tenzij je de binary boot kan manipuleren. Overigens, UEFI uitzetten? Zorg dat je dat niet op een master boot HDD of SSD groter dan 2.1 TB doet, anders krijg je je PC niet meer opgestart...

[Reactie gewijzigd door MicBenSte op 24 april 2019 18:31]

Mmm, en als je éérst met een Linux liveCD alle partities weg mikt? Of ziet linux deze partitie niet?
Het is geen partitie, het zit in een chip op je moederbord. Dat krijg je niet zomaar weg.
OK, Aha, nou een reden te meer om dergelijke handel niet aan te schaffen dus....
Je bedoelt 2e handse toestellen?
Nee. Alles. Nieuwe, tweedehands, maakt niet uit, ze zitten allemaal vol rommel.
Dus als ik nieuw toestel koop moet ik eerst factory reset doen?
Juist geen factory reset, maar een compleet opnieuw geïnstalleerd systeem door in feite de OS die er op staat helemaal af te breken en een versie van de OS maker te pakken. Factory reset betekend dat je de image die de fabrikant gebruikt heeft om de software er op te zetten na de productie terug plaatst - dat is inclusief de spamware/malware. Wat je moet doen is alles van de fabrikant helemaal weg halen, en daarvoor moet je eigenlijk opnieuw beginnen. Beste is zelfs misschien (als het om een desktop of laptop gaat) ook de BIOS/UEFI te flashen met de laatste BIOS/UEFI versie die de (oorspronkelijke) maker van het moederbord aanbiedt, anders kan het zijn dat alsnog alle rotzooi terugkomt.
Om zo ook de bloatware te verwijderen?

Nou ja, daar heb je wel een punt.

Ik heb eerlijk gezegd zo nooit gedacht.
Kaspersky moeten we wantrouwen, maar/want ze vinden wel malware...
Kaspersky moeten we wantrouwen, maar/want ze vinden wel malware...
Hoelang denk je dat ze bestaan als ze geen malware meer ontdekken? Niemand heeft recentelijk gezegd dat ze een slecht product hadden (want dat hebben ze niet) maar het feit dat ze wel toegang geven tot broncode van versie die uitgekomen zijn nadat er mogelijke problemen aan het licht kwamen en nooit toegang hebben willen geven tot de broncode van hetzelfde product VOORDAT die problemen bekent waren doet toch wel enig argwaan rijzen nietwaar?
Toch zou ik ook meer ontdekkingen verwachten van andere malware onderzoekers.
Kaspersky was gewoon een bedreiging voor de veiligheidsdiensten in de V.S.: ze ontdekten eerder teveel dan te weinig malware en zero-days. Een beetje hetzelfde als nu met Huawei: de V.S. duldt het niet als andere landen er dezelfde spionage-activiteiten op na willen gaan houden als zij zelf.
Een corrupte politieagent vangt ook boeven, behalve de boeven die hem omgekocht hebben.
Ik heb geen idee in hoeverre Kaspersky wel te vertrouwen is, maar dit is nogal kort door de bocht.
Infestation is er bij betrokken? Bedrijf achter die DayZ clone is echt super shady.

Infestation broncode gejat.... In 2013 ook al. Toen het nog WarZ heette. Infestation is overigens al een jaar of 2 offline dacht ik.
Die kloon kwam ook van de source die destijds was gestolen. Op welke manieren zijn ze nog meer shady?

Op dit item kan niet meer gereageerd worden.


OnePlus 7 Pro (8GB intern) Microsoft Xbox One S All-Digital Edition LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 Microsoft

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True